Мониторинг поведения в антивирусной программе в Microsoft Defender в macOS
Область применения:
- Microsoft Defender для XDR
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для бизнеса
- Microsoft Defender для пользователей
- Антивирусная программа в Microsoft Defender
- Поддерживаемые версии macOS
Важно!
Некоторые сведения относятся к предварительно выпущенным продуктам, которые могут быть существенно изменены до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Предварительные требования
- Устройство подключено к Microsoft Defender для конечной точки.
- Предварительные версии функций включены на портале Microsoft XDR (https://security.microsoft.com).
- Устройство должно находиться в канале бета-версии (ранее InsiderFast).
- Минимальный номер версии Microsoft Defender для конечной точки должен быть бета-версии (insiders-Fast): 101.24042.0002 или более поздней версии. Номер версии относится к app_version (также известному как обновление платформы).
- Убедитесь, что включена защита Real-Time (RTP).
- Убедитесь, что облачная защита включена.
- Устройство должно быть явно зарегистрировано в предварительной версии.
Обзор
Мониторинг поведения отслеживает поведение процесса для обнаружения и анализа потенциальных угроз на основе поведения приложений, управляющих программ и файлов в системе. Поскольку мониторинг поведения отслеживает поведение программного обеспечения в режиме реального времени, оно может быстро адаптироваться к новым и развивающимся угрозам и блокировать их.
Инструкции по развертыванию
Чтобы развернуть мониторинг поведения в Microsoft Defender для конечной точки в macOS, необходимо изменить политику мониторинга поведения, используя один из следующих методов:
В следующих разделах подробно описан каждый из этих методов.
Развертывание Intune
Скопируйте следующий XML-файл, чтобы создать PLIST-файл и сохранить его как BehaviorMonitoring_for_MDE_on_macOS.mobileconfig.
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>
Откройтепрофили конфигурацииустройств>.
Щелкните Создать профиль и выберите Создать политику.
Присвойте профилю имя. Измените Platform=macOS на Тип профиля=Шаблоны и выберите Настраиваемый в разделе имя шаблона. Нажмите Настроить.
Перейдите в файл plist, сохраненный ранее, и сохраните его как
com.microsoft.wdav.xml
.Введите
com.microsoft.wdav
в качестве имени пользовательского профиля конфигурации.Откройте профиль конфигурации, отправьте
com.microsoft.wdav.xml
файл и нажмите кнопку ОК.Выберите Управление>назначениями. На вкладке Включить выберите Назначить всем пользователям & все устройства или группу устройств или группу пользователей.
Через развертывание JamF
Скопируйте следующий XML-код, чтобы создать PLIST-файл и сохранить его как сохранить как BehaviorMonitoring_for_MDE_on_macOS.plist
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>
Вразделе Профили конфигурациикомпьютеров> выберите Параметры>Приложения & Пользовательские параметры.
Выберите Отправить файл (PLIST-файл ).
Задайте для предпочтительного домена значение com.microsoft.wdav.
Отправьте файл plist, сохраненный ранее.
Дополнительные сведения см. в статье Настройка параметров Microsoft Defender для конечной точки в macOS.
Ручное развертывание
Вы можете включить мониторинг поведения в Microsoft Defender для конечной точки в macOS, выполнив следующую команду в терминале:
sudo mdatp config behavior-monitoring --value enabled
Чтобы отключить, выполните приведенные далее действия.
sudo mdatp config behavior-monitoring --value disabled
Дополнительные сведения см. в статье Ресурсы Microsoft Defender для конечной точки в macOS.
Проверка мониторинга поведения (предотвращение или блокировка) обнаружения
См. демонстрацию мониторинга поведения.
Проверка обнаружения мониторинга поведения
Существующий интерфейс командной строки Microsoft Defender для конечной точки в macOS можно использовать для просмотра сведений и артефактов мониторинга поведения.
sudo mdatp threat list
Часто задаваемые вопросы
Что делать, если я вижу увеличение загрузки ЦП или памяти?
Отключите мониторинг поведения и посмотрите, устранена ли проблема.
- Если проблема не устранена, она не связана с мониторингом поведения.
- Если проблема исчезнет, примите aka.ms/xMDEClientAnalyzer и обратитесь в службу поддержки Майкрософт.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по