Overvågning af funktionsmåde i Microsoft Defender Antivirus på macOS

Gælder for:

• Microsoft Defender til XDR
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Business
• Microsoft Defender til enkeltpersoner
• Microsoft Defender Antivirus
• Understøttede versioner af macOS

Vigtigt!

Nogle oplysninger er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

Oversigt over overvågning af funktionsmåde

Overvågning af funktionsmåde overvåger procesfunktionsmåden for at registrere og analysere potentielle trusler baseret på funktionsmåden af programmer, daemoner og filer i systemet. I takt med at overvågning af adfærd observeres, hvordan softwaren fungerer i realtid, kan den hurtigt tilpasse sig nye trusler og udviklende trusler og blokere dem.

Forudsætninger

• Enheden skal være onboardet til Microsoft Defender for Endpoint.
• Prøveversionsfunktioner skal være aktiveret på Microsoft Defender-portalen.
• Enheden skal være i betakanalen (tidligere InsiderFast).
• Det mindste Microsoft Defender for Endpoint versionsnummer skal være Beta (Insiders-Fast): 101.24042.0002 eller nyere. Versionsnummeret refererer til app_version (også kendt som platformsopdatering).
• Realtidsbeskyttelse (RTP) skal være aktiveret.
• Skybaseret beskyttelse skal være aktiveret.
• Enheden skal udtrykkeligt være tilmeldt prøveversionsprogrammet.

Installationsvejledning til overvågning af funktionsmåde

Hvis du vil installere overvågning af funktionsmåde i Microsoft Defender for Endpoint på macOS, skal du ændre politikken for overvågning af funktionsmåde ved hjælp af en af følgende metoder:

• Intune
• JamF eller andre ikke-Microsoft MDM
• Manuelt

I de følgende afsnit beskrives hver af disse metoder i detaljer.

Intune installation

1. Kopiér følgende XML for at oprette en .plist-fil og gemme den som BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. > Åbnenhedskonfigurationsprofiler.

3. Vælg Opret profil , og vælg Ny politik.

4. Giv profilen et navn. Skift Platform=macOS til Profiltype=Skabeloner, og vælg Brugerdefineret i afsnittet Skabelonnavn. Vælg Konfigurer.

5. Gå til den plist-fil, du gemte tidligere, og gem den som com.microsoft.wdav.xml.

6. Angiv com.microsoft.wdav som navnet på den brugerdefinerede konfigurationsprofil.

7. Åbn konfigurationsprofilen, upload filen, com.microsoft.wdav.xml og vælg OK.

8. Vælg Administrer>tildelinger. Under fanen Medtag skal du vælge Tildel til alle brugere & Alle enheder eller til en enhedsgruppe eller brugergruppe.

Udrulning af JamF

1. Kopiér følgende XML for at oprette en .plist-fil , og gem den som Gem som BehaviorMonitoring_for_MDE_on_macOS.plist

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. Under Computere>Konfigurationsprofiler skal du vælge Indstillinger Programmer>& Brugerdefinerede indstillinger,

3. Vælg Overfør fil (.plist-fil ).

4. Angiv præferencedomæne til com.microsoft.wdav

5. Upload den plist-fil, der er gemt tidligere.

Du kan få flere oplysninger under: Angiv indstillinger for Microsoft Defender for Endpoint på macOS.

Manuel udrulning

Du kan aktivere overvågning af funktionsmåde på Microsoft Defender for Endpoint på macOS ved at køre følgende kommando fra terminalen:

sudo mdatp config behavior-monitoring --value enabled

Sådan deaktiverer du:

sudo mdatp config behavior-monitoring --value disabled

Du kan få flere oplysninger under: Ressourcer til Microsoft Defender for Endpoint på macOS.

Sådan tester du overvågning af funktionsmåde (forebyggelse/blokering)

Se Demonstration af overvågning af funktionsmåde.

Kontrollerer registreringer af adfærdsovervågning

De eksisterende Microsoft Defender for Endpoint på macOS-kommandolinjegrænsefladen kan bruges til at gennemse oplysninger og artefakter om overvågning af funktionsmåde.

sudo mdatp threat list

Ofte stillede spørgsmål

Hvad sker der, hvis jeg ser en stigning i CPU-forbruget eller hukommelsesudnyttelsen?

Deaktiver overvågning af funktionsmåde, og se, om problemet forsvinder.

• Hvis problemet ikke forsvinder, er det ikke relateret til overvågning af funktionsmåde.
• Hvis problemet forsvinder, skal du downloade XMDE-klientanalysen og derefter kontakte Microsoft Support.

Netværkskontrol i realtid til macOS

Vigtigt!

Nogle oplysninger er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.

Netværkets kontrol i realtid (NRI) til macOS-funktionen forbedrer beskyttelse i realtid (RTP) ved hjælp af overvågning af adfærd i koncert med fil, proces og andre hændelser for at registrere mistænkelig aktivitet. Overvågning af funktionsmåde udløser både telemetri- og eksempelindsendelser på mistænkelige filer, som Microsoft skal analysere fra cloudbeskyttelsesbackend, og leveres til klientenheden, hvilket resulterer i fjernelse af truslen.

Har det indflydelse på ydeevnen?

NRI bør have en lav indvirkning på netværkets ydeevne. I stedet for at holde forbindelsen og blokeringen, laver NRI en kopi af pakken, når den krydser netværket, og NRI udfører en asynkron inspektion.

Bemærk!

Når netværkskontrol i realtid (NRI) til macOS er aktiveret, kan du se en lille stigning i hukommelsesudnyttelsen.

Krav til NRI til macOS

• Enheden skal være onboardet til Microsoft Defender for Endpoint.
• Prøveversionsfunktioner skal være slået til på Microsoft Defender-portalen.
• Enheden skal være i betakanalen (tidligere InsiderFast).
• Det mindste versionsnummer for Defender for Endpoint-versionsnummer skal være Beta (Insiders-Fast): 101.24092.0004 eller nyere. Versionsnummeret refererer til app version (også kendt som platformsopdatering).
• Beskyttelse i realtid skal aktiveres.
• Overvågning af funktionsmåde skal aktiveres.
• Skybaseret beskyttelse skal være aktiveret.
• Enheden skal udtrykkeligt være tilmeldt prøveversionen.

Installationsvejledning til NRI til macOS

1. Send en mail til os på NRIonMacOS@microsoft.com med oplysninger om dit Microsoft Defender for Endpoint OrgID, hvor du gerne vil have netværkskontrol (NRI) til macOS aktiveret.

   Vigtigt!

   Hvis du vil evaluere NRI for macOS, skal du sende en mail til NRIonMacOS@microsoft.com. Medtag dit Organisations-id for Defender for Endpoint. Vi aktiverer denne funktion pr. anmodning for hver lejer.

2. Aktivér overvågning af funktionsmåde, hvis den ikke allerede er aktiveret:

   
   sudo mdatp config behavior-monitoring --value enabled
   
   

3. Aktivér netværksbeskyttelse i blokeringstilstand:

   
   sudo mdatp config network-protection enforcement-level --value block
   
   

4. Aktivér netværkskontrol i realtid (NRI):

   
   sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"
   
   
   

   Bemærk!

   Mens denne funktion er en prøveversion, og da indstillingen er angivet ved hjælp af kommandolinjen, fortsætter NETVÆRKS-kontrol i realtid ikke efter genstart. Du skal aktivere den igen.