Monitorování chování v Microsoft Defender Antivirus v systému macOS

Platí pro:

• Microsoft Defender pro XDR
• Plán 2 pro Microsoft Defender for Endpoint
• Plán 1 pro Microsoft Defender for Endpoint
• Microsoft Defender pro firmy
• Microsoft Defender pro jednotlivce
• Antivirová ochrana v Microsoft Defenderu
• Podporované verze macOS

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Přehled monitorování chování

Monitorování chování monitoruje chování procesů a zjišťuje a analyzuje potenciální hrozby na základě chování aplikací, démonů a souborů v systému. Monitorování chování sleduje, jak se software chová v reálném čase, a proto se může rychle přizpůsobit novým a vyvíjejícím se hrozbám a zablokovat je.

Požadavky

• Zařízení musí být nasazené do Microsoft Defender for Endpoint.
• Na portálu Microsoft Defender musí být povolené funkce verze Preview.
• Zařízení musí být v beta kanálu (dříve InsiderFast).
• Minimální Microsoft Defender for Endpoint číslo verze musí být Beta (Insiders-Fast): 101.24042.0002 nebo novější. Číslo verze odkazuje na (označovanou app_version také jako aktualizace platformy).
• Musí být povolená ochrana v reálném čase (RTP).
• Musí být povolená cloudová ochrana .
• Zařízení musí být explicitně zaregistrované v programu preview.

Pokyny k nasazení pro monitorování chování

Pokud chcete nasadit monitorování chování v Microsoft Defender for Endpoint v macOS, musíte změnit zásady monitorování chování pomocí jedné z následujících metod:

• Intune
• JamF nebo jiné mdm jiné společnosti než Microsoft
• Ručně

Následující části podrobně popisují každou z těchto metod.

Intune nasazení

1. Zkopírujte následující kód XML a vytvořte soubor .plist a uložte ho jako BehaviorMonitoring_for_MDE_on_macOS.mobileconfig.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. OtevřeteProfily konfiguracezařízení>.

3. Vyberte Vytvořit profil a vyberte Nová zásada.

4. Pojmenujte profil. Změňte Platform=macOS na Profile type=Templates a v části Název šablony zvolte Vlastní . Vyberte Konfigurovat.

5. Přejděte na soubor plist, který jste si uložili dříve, a uložte ho jako com.microsoft.wdav.xml.

6. Jako název vlastního konfiguračního profilu zadejtecom.microsoft.wdav.

7. Otevřete konfigurační profil, nahrajte com.microsoft.wdav.xml soubor a vyberte OK.

8. Vyberte Spravovat>přiřazení. Na kartě Zahrnout vyberte Přiřadit všem uživatelům & Všechna zařízení nebo do skupiny zařízení nebo skupiny uživatelů.

Nasazení JamF

1. Zkopírujte následující kód XML, vytvořte soubor .plist a uložte ho jako Uložit jako BehaviorMonitoring_for_MDE_on_macOS.plist.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. V částiProfily konfiguracepočítačů> vyberte Možnosti>Aplikace & vlastní nastavení.

3. Vyberte Nahrát soubor (soubor .plist ).

4. Nastavení domény předvoleb na com.microsoft.wdav

5. Nahrajte dříve uložený soubor plist.

Další informace najdete v tématu Nastavení předvoleb pro Microsoft Defender for Endpoint v macOS.

Ruční nasazení

Monitorování chování na Microsoft Defender for Endpoint v systému macOS můžete povolit spuštěním následujícího příkazu z terminálu:

sudo mdatp config behavior-monitoring --value enabled

Postup zakázání:

sudo mdatp config behavior-monitoring --value disabled

Další informace najdete v tématu Zdroje informací pro Microsoft Defender for Endpoint v systému macOS.

Testování monitorování chování (prevence nebo blokování) detekce

Viz Ukázka monitorování chování.

Ověřování detekce monitorování chování

Existující Microsoft Defender for Endpoint v rozhraní příkazového řádku macOS můžete použít ke kontrole podrobností o monitorování chování a artefaktů.

sudo mdatp threat list

Nejčastější dotazy

Co když se mi zvýší využití procesoru nebo paměti?

Zakažte monitorování chování a zjistěte, jestli problém nezmizí.

• Pokud problém nezmizí, nesouvisí s monitorováním chování.
• Pokud problém zmizí, stáhněte si nástroj XMDE Client Analyzer a pak kontaktujte podporu Microsoftu.

Kontrola sítě v reálném čase pro macOS

Důležité

Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.

Funkce kontroly sítě v reálném čase (NRI) pro macOS zlepšuje ochranu v reálném čase (RTP) pomocí monitorování chování v souladu se souborovými, procesními a dalšími událostmi k detekci podezřelých aktivit. Monitorování chování aktivuje telemetrická i ukázková odeslání podezřelých souborů, které Microsoft analyzuje z back-endu ochrany cloudu, a doručuje se do klientského zařízení, což vede k odebrání hrozby.

Má to vliv na výkon?

Funkce NRI by měla mít nízký dopad na výkon sítě. Místo toho, aby se připojení drželo a blokoval, nrI vytvoří kopii paketu, když protíná síť, a NRI provede asynchronní kontrolu.

Poznámka

Když je povolená kontrola sítě v reálném čase (NRI) pro macOS, může dojít k mírnému zvýšení využití paměti.

Požadavky na NRI pro macOS

• Zařízení musí být nasazené do Microsoft Defender for Endpoint.
• Funkce Preview musí být na portálu Microsoft Defender zapnuté.
• Zařízení musí být v beta kanálu (dříve InsiderFast).
• Minimální číslo verze defenderu for Endpoint musí být Beta (Insiders-Fast): 101.24092.0004 nebo novější. Číslo verze odkazuje na (označovanou app version také jako aktualizace platformy).
• Musí být povolená ochrana v reálném čase.
• Monitorování chování musí být povolené.
• Musí být povolená cloudová ochrana.
• Zařízení musí být explicitně zaregistrované ve verzi Preview.

Pokyny k nasazení pro NRI pro macOS

1. Odešlete nám NRIonMacOS@microsoft.com e-mail s informacemi o vaší Microsoft Defender for Endpoint OrgID, kde chcete povolit kontrolu sítě v reálném čase (NRI) pro macOS.

   Důležité

   Pokud chcete vyhodnotit NRI pro macOS, pošlete e-mail na adresu NRIonMacOS@microsoft.com. Uveďte ID organizace defenderu for Endpoint. Tuto funkci povolujeme na základě žádosti pro každého tenanta.

2. Povolte monitorování chování, pokud ještě není povolené:

   
   sudo mdatp config behavior-monitoring --value enabled
   
   

3. Povolení ochrany sítě v režimu blokování:

   
   sudo mdatp config network-protection enforcement-level --value block
   
   

4. Povolení kontroly sítě v reálném čase (NRI):

   
   sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"
   
   
   

   Poznámka

   Vzhledem k tomu, že je ve verzi Public Preview nastavení nastaveno prostřednictvím příkazového řádku, kontrola sítě v reálném čase (NRI) nezachová restartování. Budete ho muset znovu povolit.