Поделиться через

Мониторинг поведения в антивирусной программе в Microsoft Defender в macOS

  • Статья

Область применения:

Важно!

Некоторые сведения относятся к предварительно выпущенным продуктам, которые могут быть существенно изменены до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Предварительные требования

  • Устройство подключено к Microsoft Defender для конечной точки.
  • Предварительные версии функций включены на портале Microsoft XDR (https://security.microsoft.com).
  • Устройство должно находиться в канале бета-версии (ранее InsiderFast).
  • Минимальный номер версии Microsoft Defender для конечной точки должен быть бета-версии (insiders-Fast): 101.24042.0002 или более поздней версии. Номер версии относится к app_version (также известному как обновление платформы).
  • Убедитесь, что включена защита Real-Time (RTP).
  • Убедитесь, что облачная защита включена.
  • Устройство должно быть явно зарегистрировано в предварительной версии.

Обзор

Мониторинг поведения отслеживает поведение процесса для обнаружения и анализа потенциальных угроз на основе поведения приложений, управляющих программ и файлов в системе. Поскольку мониторинг поведения отслеживает поведение программного обеспечения в режиме реального времени, оно может быстро адаптироваться к новым и развивающимся угрозам и блокировать их.

Инструкции по развертыванию

Чтобы развернуть мониторинг поведения в Microsoft Defender для конечной точки в macOS, необходимо изменить политику мониторинга поведения, используя один из следующих методов:

В следующих разделах подробно описан каждый из этих методов.

Развертывание Intune

  1. Скопируйте следующий XML-файл, чтобы создать PLIST-файл и сохранить его как BehaviorMonitoring_for_MDE_on_macOS.mobileconfig.

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                </dict>
                <key>features</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                <key>behaviorMonitoringConfigurations</key>
                <dict>
                <key>blockExecution</key>
                <string>enabled</string>
                <key>notifyForks</key>
                <string>enabled</string>
                <key>forwardRtpToBm</key>
                <string>enabled</string>
                <key>avoidOpenCache</key>
                <string>enabled</string>
                                 </dict>
                    </dict>
            </dict>
        </array>
    </dict>
</plist>

  2. Откройтепрофили конфигурацииустройств>.

  3. Щелкните Создать профиль и выберите Создать политику.

  4. Присвойте профилю имя. Измените Platform=macOS на Тип профиля=Шаблоны и выберите Настраиваемый в разделе имя шаблона. Нажмите Настроить.

  5. Перейдите в файл plist, сохраненный ранее, и сохраните его как com.microsoft.wdav.xml.

  6. Введите com.microsoft.wdavв качестве имени пользовательского профиля конфигурации.

  7. Откройте профиль конфигурации, отправьте com.microsoft.wdav.xml файл и нажмите кнопку ОК.

  8. Выберите Управление>назначениями. На вкладке Включить выберите Назначить всем пользователям & все устройства или группу устройств или группу пользователей.

Через развертывание JamF

  1. Скопируйте следующий XML-код, чтобы создать PLIST-файл и сохранить его как сохранить как BehaviorMonitoring_for_MDE_on_macOS.plist

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>antivirusEngine</key>
            <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
            </dict>
                <key>features</key>
                     <dict>
                         <key>behaviorMonitoring</key>
                         <string>enabled</string>
                         <key>behaviorMonitoringConfigurations</key>
                             <dict>
                                 <key>blockExecution</key>
                                 <string>enabled</string>
                                 <key>notifyForks</key>
                                 <string>enabled</string>
                                 <key>forwardRtpToBm</key>
                                 <string>enabled</string>
                                 <key>avoidOpenCache</key>
                                 <string>enabled</string>
                             </dict>
                     </dict>
    </dict>
</plist>

  2. Вразделе Профили конфигурациикомпьютеров> выберите Параметры>Приложения & Пользовательские параметры.

  3. Выберите Отправить файл (PLIST-файл ).

  4. Задайте для предпочтительного домена значение com.microsoft.wdav.

  5. Отправьте файл plist, сохраненный ранее.

Дополнительные сведения см. в статье Настройка параметров Microsoft Defender для конечной точки в macOS.

Ручное развертывание

Вы можете включить мониторинг поведения в Microsoft Defender для конечной точки в macOS, выполнив следующую команду в терминале:

sudo mdatp config behavior-monitoring --value enabled

Чтобы отключить, выполните приведенные далее действия.

sudo mdatp config behavior-monitoring --value disabled

Дополнительные сведения см. в статье Ресурсы Microsoft Defender для конечной точки в macOS.

Проверка мониторинга поведения (предотвращение или блокировка) обнаружения

См. демонстрацию мониторинга поведения.

Проверка обнаружения мониторинга поведения

Существующий интерфейс командной строки Microsoft Defender для конечной точки в macOS можно использовать для просмотра сведений и артефактов мониторинга поведения.

sudo mdatp threat list

Часто задаваемые вопросы

Что делать, если я вижу увеличение загрузки ЦП или памяти?

Отключите мониторинг поведения и посмотрите, устранена ли проблема.

  • Если проблема не устранена, она не связана с мониторингом поведения.
  • Если проблема исчезнет, примите aka.ms/xMDEClientAnalyzer и обратитесь в службу поддержки Майкрософт.