共用方式為

macOS 上 Microsoft Defender 防病毒軟體中的行為監視

  • 發行項

適用於:

重要事項

某些資訊與發行前產品有關,這些產品可能會在正式發行之前進行大幅修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

必要條件

  • 裝置已上線至適用於端點的 Microsoft Defender。
  • 預覽功能 會在 Microsoft XDR 入口網站中啟用 (https://security.microsoft.com) 。
  • 裝置必須位於 Beta 通道 中, (先前稱為 InsiderFast) 。
  • 最低適用於端點的 Microsoft Defender 版本號碼必須是 Beta (Insiders-Fast) :101.24042.0002 或更新版本。 版本號碼是指 app_version (也稱為 平臺更新) 。
  • 確定已啟用 Real-Time Protection (RTP) 。
  • 確定已啟用 雲端式保護
  • 裝置必須明確註冊到預覽版。

概觀

行為監視會監視程序行為,以根據系統內應用程式、精靈和檔案的行為來偵測和分析潛在威脅。 當行為監視觀察軟體的即時運作方式時,它可以快速適應新的和不斷演進的威脅,並加以封鎖。

部署指示

若要在macOS上部署適用於端點的 Microsoft Defender 中的行為監視,您必須使用下列其中一種方法來變更行為監視原則:

下列各節會詳細說明這些方法。

Intune 部署

  1. 複製下列 XML 以建立 .plist 檔案,並將其儲存為 BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                </dict>
                <key>features</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                <key>behaviorMonitoringConfigurations</key>
                <dict>
                <key>blockExecution</key>
                <string>enabled</string>
                <key>notifyForks</key>
                <string>enabled</string>
                <key>forwardRtpToBm</key>
                <string>enabled</string>
                <key>avoidOpenCache</key>
                <string>enabled</string>
                                 </dict>
                    </dict>
            </dict>
        </array>
    </dict>
</plist>

  2. 啟 [裝置>組態配置檔]

  3. 取 [建立配置檔 ],然後選取 [新增原則]

  4. 為設定檔命名。 將 Platform=macOS 變更為 [配置檔類型=範本 ],然後在 [範本名稱] 區段中選擇 [ 自定義 ]。 選 取 [設定]

  5. 移至您稍早儲存的 plist 檔案,並將儲存為 com.microsoft.wdav.xml

  6. 輸入 com.microsoft.wdav 作為 自定義組態配置檔名稱

  7. 開啟組態配置檔並上傳檔案, com.microsoft.wdav.xml 然後選取 [ 確定]

  8. 取 [管理>指派]。 在 [ 包含] 索引標籤中,選 取 [指派給所有使用者 & 所有裝置或裝置群組或使用者群組] 。

透過 JamF 部署

  1. 複製下列 XML 以建立 .plist 檔案,並將它儲存 為另存為 BehaviorMonitoring_for_MDE_on_macOS.plist

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>antivirusEngine</key>
            <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
            </dict>
                <key>features</key>
                     <dict>
                         <key>behaviorMonitoring</key>
                         <string>enabled</string>
                         <key>behaviorMonitoringConfigurations</key>
                             <dict>
                                 <key>blockExecution</key>
                                 <string>enabled</string>
                                 <key>notifyForks</key>
                                 <string>enabled</string>
                                 <key>forwardRtpToBm</key>
                                 <string>enabled</string>
                                 <key>avoidOpenCache</key>
                                 <string>enabled</string>
                             </dict>
                     </dict>
    </dict>
</plist>

  2. [計算機>組態配置檔] 中,選取 [選項>應用程式 & 自定義設定]

  3. 取 [上傳檔案 (.plist 檔案) ] 。

  4. 將喜好設定網域設定為 com.microsoft.wdav

  5. 上傳稍早儲存的 plist 檔案。

如需詳細資訊,請參閱 :在macOS上設定適用於端點的 Microsoft Defender 喜好設定

手動部署

您可以從終端機執行下列命令,在macOS上的適用於端點的 Microsoft Defender 上啟用行為監視:

sudo mdatp config behavior-monitoring --value enabled

若要停用:

sudo mdatp config behavior-monitoring --value disabled

如需詳細資訊,請參閱: macOS 上適用於端點的 Microsoft Defender 資源。

測試行為監視 (預防/封鎖) 偵測

請參閱 行為監視示範

驗證行為監視偵測

macOS 命令行介面上現有的適用於端點的 Microsoft Defender 可用來檢閱行為監視詳細數據和成品。

sudo mdatp threat list

常見問題集 (FAQ)

如果我看到 cpu 使用率或記憶體使用率增加,該怎麼辦?

停用行為監視,並查看問題是否消失。

  • 如果問題並未消失,則與行為監視無關。
  • 如果問題消失,請取得 aka.ms/xMDEClientAnalyzer 並連絡 Microsoft 支持服務。