通过

macOS 上的 Microsoft Defender 防病毒中的行为监视

  • 项目

适用于:

重要

某些信息与预发布产品有关,在商业发布之前,这些预发布产品可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

先决条件

  • 设备已载入 Microsoft Defender for Endpoint。
  • 预览功能 在 Microsoft XDR 门户中启用, https://security.microsoft.com () 。
  • 设备必须位于 Beta 通道 中, (以前是 InsiderFast) 。
  • 最低 Microsoft Defender for Endpoint 版本号必须为 Beta (Insiders-Fast) :101.24042.0002 或更高版本。 版本号是指 app_version (也称为 平台更新) 。
  • 确保已启用 Real-Time 保护 (RTP) 。
  • 确保已启用 云提供的保护
  • 设备必须显式注册到预览版中。

概述

行为监视监视进程行为,以基于系统内应用程序、守护程序和文件的行为检测和分析潜在威胁。 当行为监视实时观察软件的行为方式时,它可以快速适应新的和不断演变的威胁并阻止它们。

部署说明

若要在 macOS 上的 Microsoft Defender for Endpoint 中部署行为监视,必须使用以下方法之一更改行为监视策略:

以下各节详细介绍了其中的每种方法。

Intune 部署

  1. 复制以下 XML 以创建 .plist 文件,并将其另存为 BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                </dict>
                <key>features</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                <key>behaviorMonitoringConfigurations</key>
                <dict>
                <key>blockExecution</key>
                <string>enabled</string>
                <key>notifyForks</key>
                <string>enabled</string>
                <key>forwardRtpToBm</key>
                <string>enabled</string>
                <key>avoidOpenCache</key>
                <string>enabled</string>
                                 </dict>
                    </dict>
            </dict>
        </array>
    </dict>
</plist>

  2. 打开 “设备>配置文件”。

  3. 选择 “创建配置文件 ”,然后选择“ 新建策略”。

  4. 为配置文件命名。 将 Platform=macOS 更改为 “配置文件类型=模板” ,然后在模板名称部分选择 “自定义 ”。 选择“配置”。

  5. 转到之前保存的 plist 文件,并将其另存为 com.microsoft.wdav.xml

  6. 输入 com.microsoft.wdav 作为 自定义配置文件名称

  7. 打开配置文件并上传文件, com.microsoft.wdav.xml 然后选择“ 确定”。

  8. 选择“ 管理>分配”。 在“ 包括 ”选项卡中,选择“ 分配给所有用户”&“”所有设备“或”分配给设备组“或”用户组”。

通过 JamF 部署

  1. 复制以下 XML 以创建 .plist 文件并将其另存为 BehaviorMonitoring_for_MDE_on_macOS.plist

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>antivirusEngine</key>
            <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
            </dict>
                <key>features</key>
                     <dict>
                         <key>behaviorMonitoring</key>
                         <string>enabled</string>
                         <key>behaviorMonitoringConfigurations</key>
                             <dict>
                                 <key>blockExecution</key>
                                 <string>enabled</string>
                                 <key>notifyForks</key>
                                 <string>enabled</string>
                                 <key>forwardRtpToBm</key>
                                 <string>enabled</string>
                                 <key>avoidOpenCache</key>
                                 <string>enabled</string>
                             </dict>
                     </dict>
    </dict>
</plist>

  2. “计算机>配置文件”中,选择“选项>应用程序 & 自定义设置”

  3. 选择“ 上传文件 (.plist 文件) ”。

  4. 将首选项域设置为 com.microsoft.wdav

  5. 上传之前保存的 plist 文件。

有关详细信息,请参阅: 在 macOS 上设置 Microsoft Defender for Endpoint 的首选项

手动部署

可以通过从终端运行以下命令,在 macOS 上的 Microsoft Defender for Endpoint 上启用行为监视:

sudo mdatp config behavior-monitoring --value enabled

若要禁用,请:

sudo mdatp config behavior-monitoring --value disabled

有关详细信息,请参阅: macOS 上的 Microsoft Defender for Endpoint 的资源

测试行为监视 (防护/阻止) 检测

请参阅 行为监视演示

验证行为监视检测

macOS 上现有的 Microsoft Defender for Endpoint 命令行接口可用于查看行为监视详细信息和项目。

sudo mdatp threat list

常见问题解答(FAQ)

如果看到 CPU 利用率或内存利用率增加,该怎么办?

禁用行为监视并查看问题是否消失。

  • 如果问题未解决,则与行为监视无关。
  • 如果问题消失,请 aka.ms/xMDEClientAnalyzer 并联系 Microsoft 支持部门。