Beteendeövervakning i Microsoft Defender Antivirus på macOS

Gäller för:

• Microsoft Defender för XDR
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för företag
• Microsoft Defender för enskilda användare
• Microsoft Defender Antivirus
• Versioner av macOS som stöds

Viktigt

Viss information gäller försläppt produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Förutsättningar

• Enheten registreras i Microsoft Defender för Endpoint.
• Förhandsgranskningsfunktioner är aktiverade i Microsoft XDR-portalen (https://security.microsoft.com).
• Enheten måste finnas i betakanalen (tidigare InsiderFast).
• Minimalt versionsnummer för Microsoft Defender för Endpoint måste vara Beta (Insiders-Fast): 101.24042.0002 eller senare. Versionsnummer refererar till app_version (kallas även plattformsuppdatering).
• Kontrollera att Real-Time Protection (RTP) är aktiverat.
• Se till att molnlevererat skydd är aktiverat.
• Enheten måste uttryckligen registreras i förhandsversionen.

Översikt

Beteendeövervakning övervakar processbeteendet för att identifiera och analysera potentiella hot baserat på beteendet för program, daemoner och filer i systemet. När beteendeövervakning observerar hur programvaran beter sig i realtid kan den snabbt anpassas till nya och växande hot och blockera dem.

Distributionsinstruktioner

Om du vill distribuera beteendeövervakning i Microsoft Defender för Endpoint på macOS måste du ändra beteendeövervakningsprincipen med någon av följande metoder:

• Intune
• JamF eller annan MDM från 3^:e part
• Manuellt

I följande avsnitt beskrivs var och en av dessa metoder i detalj.

Intune-distribution

1. Kopiera följande XML för att skapa en .plist-fil och spara den som BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Öppna Enhetskonfigurationsprofiler>.

3. Välj Skapa profil och välj Ny princip.

4. Ge profilen ett namn. Ändra Platform=macOS till Profiltyp=Mallar och välj Anpassad i avsnittet med mallnamn. Välj Konfigurera.

5. Gå till plist-filen som du sparade tidigare och spara den som com.microsoft.wdav.xml.

6. Ange com.microsoft.wdav som namn på den anpassade konfigurationsprofilen.

7. Öppna konfigurationsprofilen och ladda upp com.microsoft.wdav.xml filen och välj OK.

8. Välj Hantera>tilldelningar. På fliken Inkludera väljer du Tilldela till alla användare & Alla enheter eller till en enhetsgrupp eller användargrupp.

Via JamF-distribution

1. Kopiera följande XML för att skapa en .plist-fil och spara den som Spara som BehaviorMonitoring_for_MDE_on_macOS.plist

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. IKonfigurationsprofiler för datorer> väljer du Alternativ>Program & anpassade inställningar,

3. Välj Ladda upp fil (.plist-fil ).

4. Ange inställningsdomänen till com.microsoft.wdav

5. Ladda upp plist-filen som sparades tidigare.

Mer information finns i: Ange inställningar för Microsoft Defender för Endpoint på macOS.

Manuell distribution

Du kan aktivera beteendeövervakning på Microsoft Defender för Endpoint på macOS genom att köra följande kommando från terminalen:

sudo mdatp config behavior-monitoring --value enabled

Inaktivera:

sudo mdatp config behavior-monitoring --value disabled

Mer information finns i: Resurser för Microsoft Defender för Endpoint på macOS.

Testa identifiering av beteendeövervakning (skydd/blockering)

Se Demonstration av beteendeövervakning.

Verifiera identifiering av beteendeövervakning

Det befintliga kommandoradsgränssnittet för Microsoft Defender för Endpoint på macOS kan användas för att granska information om beteendeövervakning och artefakter.

sudo mdatp threat list

Vanliga frågor och svar

Vad händer om jag ser en ökning av processoranvändningen eller minnesanvändningen?

Inaktivera beteendeövervakning och se om problemet försvinner.

• Om problemet inte försvinner är det inte relaterat till beteendeövervakning.
• Om problemet försvinner kan du ta en aka.ms/xMDEClientAnalyzer och kontakta Microsofts support.