Compartilhar via

Monitorização de comportamento no Antivírus do Microsoft Defender no macOS

Aplica-se a:

Descrição geral da monitorização de comportamento

A monitorização de comportamento monitoriza o comportamento do processo para detetar e analisar potenciais ameaças com base no comportamento das aplicações, daemons e ficheiros no sistema. À medida que a monitorização de comportamento observa o comportamento do software em tempo real, pode adaptar-se rapidamente a ameaças novas e em evolução e bloqueá-las.

Pré-requisitos

  • O dispositivo tem de estar integrado no Microsoft Defender para Ponto de Extremidade.
  • Para obter a melhor experiência, Microsoft Defender deve estar atualizado com a versão mais recente.
  • O número mínimo Microsoft Defender para Ponto de Extremidade versão tem de ser 101.25032.0006 ou mais recente. O número da versão refere-se ao app_version (também conhecido como Atualização da plataforma).
  • A proteção em tempo real (RTP) tem de estar ativada.
  • A proteção fornecida pela cloud tem de estar ativada.

Instruções de implementação para monitorização de comportamento

A Monitorização de Comportamento estará ativada em breve por predefinição. Pode confirmar a inscrição do seu dispositivo status ao verificar a saída das funcionalidades mdatp health --details no terminal. Se ainda não estiver ativado, tem de configurá-lo.

Para implementar a monitorização de comportamento no Microsoft Defender para Ponto de Extremidade no macOS, tem de alterar a política de monitorização de comportamento através de um dos seguintes métodos:

As secções seguintes descrevem cada um destes métodos em detalhe.

implementação do Intune

  1. Copie o XML seguinte para criar um ficheiro .plist e guarde-o como BehaviorMonitoring_for_MDE_on_macOS.mobileconfig.

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                </dict>
                <key>features</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                </dict>
            </dict>
        </array>
    </dict>
</plist>

  2. Abraperfis de Configuração de Dispositivos>.

  3. Selecione Criar perfil e selecione Nova Política.

  4. Dê um nome ao perfil. Altere Platform=macOS para Profile type=Templates e selecione Personalizar na secção nome do modelo. Selecione Configurar.

  5. Aceda ao ficheiro plist que guardou anteriormente e guarde-o como com.microsoft.wdav.xml.

  6. Especifique com.microsoft.wdav como o nome do perfil de configuração personalizada.

  7. Abra o perfil de configuração, carregue o com.microsoft.wdav.xml ficheiro e selecione OK.

  8. Selecione Gerir>Atribuições. No separador Incluir , selecione Atribuir a Todos os Utilizadores & Todos os dispositivos ou a um Grupo de Dispositivos ou Grupo de Utilizadores.

Implementação do JamF

  1. Copie o XML seguinte para criar um ficheiro .plist e guarde-o como Save as BehaviorMonitoring_for_MDE_on_macOS.plist:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>antivirusEngine</key>
            <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
            </dict>
        <key>features</key>
            <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
            </dict>
    </dict>
</plist>

  2. EmPerfis de Configuração deComputadores>, selecione Opções>Aplicações & Definições Personalizadas,

  3. Selecione Carregar Ficheiro (ficheiro .plist ).

  4. Defina o domínio de preferência como com.microsoft.wdav.

  5. Carregue o ficheiro plist guardado anteriormente.

Para obter mais informações, consulte: Definir preferências para Microsoft Defender para Ponto de Extremidade no macOS.

Implantação manual

Pode ativar a Monitorização de Comportamento no Microsoft Defender para Ponto de Extremidade no macOS ao executar o seguinte comando a partir do Terminal:

sudo mdatp config behavior-monitoring --value enabled

Para desativar:

sudo mdatp config behavior-monitoring --value disabled

Para obter mais informações, veja: Recursos para Microsoft Defender para Ponto de Extremidade no macOS.

Verificar se a monitorização de comportamento está ativada

Para verificar se a monitorização de comportamento está ativada, abra o Terminal, copie e execute o seguinte comando:

mdatp health --details features

Quando a monitorização de comportamento está ativada, o resultado apresenta o valor de behavior_monitoring como ativado.

Para testar a deteção de monitorização de comportamento (prevenção/bloqueio)

Veja Demonstração de Monitorização de Comportamento.

Verificar deteções de monitorização de comportamento

Os Microsoft Defender para Ponto de Extremidade existentes na interface de linha de comandos do macOS podem ser utilizados para rever detalhes e artefactos de monitorização de comportamento.

sudo mdatp threat list

Perguntas frequentes (FAQ)

E se vir um aumento na utilização da CPU ou na utilização da memória?

Desative a monitorização de comportamento e veja se o problema desaparece. Se o problema não desaparecer, não está relacionado com a monitorização de comportamento.

Se o problema desaparecer, reativar a monitorização de comportamento e utilizar estatísticas de monitorização de comportamento para identificar e excluir processos que geram eventos excessivos:

sudo mdatp config behavior-monitoring-statistics --value enabled

Reproduza o problema e, em seguida, execute:

sudo mdatp diagnostic behavior-monitoring-statistics --sort

Este comando lista os processos em execução no computador que estão a comunicar eventos de monitorização de comportamento ao processo do motor. Quanto mais eventos, mais impacto na CPU/memória esse processo tem.

Exclua os processos identificados com:

sudo mdatp exclusion process add --path <path to process with lots of events>

Importante

Verifique a fiabilidade dos processos que estão a ser excluídos. Excluir estes processos impedirá que todos os eventos sejam enviados para a monitorização de comportamento e sejam submetidos à análise de conteúdos. No entanto, o EDR continuará a receber eventos destes processos. É importante ter em atenção que é pouco provável que esta mitigação reduza a utilização da CPU dos wdavdaemon processos ou wdavdaemon_enterprise , mas pode afetar wdavdaemon_unprivileged. Se os outros dois processos também estiverem a ter uma utilização elevada da CPU, a monitorização do comportamento pode não ser a única causa e recomenda-se contactar o suporte da Microsoft.

Uma vez concluído, desative as estatísticas de monitorização de comportamento:

sudo mdatp config behavior-monitoring-statistics --value disabled

Se o problema persistir, especialmente após um reinício, transfira o Analisador de Cliente XMDE e, em seguida, contacte o suporte da Microsoft.

Inspeção em tempo real da rede para macOS

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

A inspeção de rede em tempo real (NRI) para a funcionalidade macOS melhora a proteção em tempo real (RTP) através da monitorização de comportamento em conjunto com ficheiros, processos e outros eventos para detetar atividades suspeitas. A monitorização de comportamento aciona a telemetria e submissões de exemplo em ficheiros suspeitos para a Microsoft analisar a partir do back-end de proteção da cloud e é entregue no dispositivo cliente, o que resulta na remoção da ameaça.

Existe algum impacto no desempenho?

A NRI deve ter um baixo impacto no desempenho da rede. Em vez de manter a ligação e o bloqueio, a NRI faz uma cópia do pacote à medida que atravessa a rede e a NRI efetua uma inspeção assíncrona.

Observação

Quando a inspeção de rede em tempo real (NRI) para macOS estiver ativada, poderá ver um ligeiro aumento na utilização da memória.

Requisitos da NRI para macOS

  • O dispositivo tem de estar integrado no Microsoft Defender para Ponto de Extremidade.
  • As funcionalidades de pré-visualização têm de estar ativadas no portal do Microsoft Defender.
  • O dispositivo tem de estar no canal Beta (anteriormente InsiderFast).
  • O número mínimo da versão do Defender para Endpoint tem de ser Beta (Insiders-Fast): 101.24092.0004 ou mais recente. O número da versão refere-se ao app version (também conhecido como Atualização da plataforma).
  • A proteção em tempo real tem de estar ativada.
  • A monitorização de comportamento tem de estar ativada.
  • A proteção fornecida pela cloud tem de estar ativada.
  • O dispositivo tem de estar explicitamente inscrito na pré-visualização.

Instruções de implementação do NRI para macOS

  1. Envie-nos NRIonMacOS@microsoft.com um e-mail com informações sobre o seu Microsoft Defender para Ponto de Extremidade OrgID, onde gostaria de ter a inspeção em tempo real (NRI) de rede para macOS ativada.

    Importante

    Para avaliar a NRI para macOS, envie um e-mail para NRIonMacOS@microsoft.com. Inclua o ID da Organização do Defender para Endpoint. Estamos a ativar esta funcionalidade numa base por pedido para cada inquilino.

  2. Ative a monitorização de comportamento se ainda não estiver ativada:

    sudo mdatp config behavior-monitoring --value enabled

  3. Ativar a proteção de rede no modo de bloqueio:

    sudo mdatp config network-protection enforcement-level --value block

  4. Ativar a inspeção em tempo real da rede (NRI):

    sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"

    Observação

    Embora esta funcionalidade esteja em pré-visualização e como a definição está definida através da linha de comandos, a inspeção em tempo real de rede (NRI) não persiste após reinícios. Tem de a reativar.