Verhaltensüberwachung in Microsoft Defender Antivirus unter macOS

Gilt für:

• Microsoft Defender für XDR
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Unternehmen
• Microsoft Defender für Einzelpersonen
• Microsoft Defender Antivirus
• Unterstützte Versionen von macOS

Wichtig

Einige Informationen beziehen sich auf vorab veröffentlichte Produkte, die vor der kommerziellen Veröffentlichung erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Übersicht über die Verhaltensüberwachung

Die Verhaltensüberwachung überwacht das Prozessverhalten, um potenzielle Bedrohungen basierend auf dem Verhalten der Anwendungen, Daemons und Dateien im System zu erkennen und zu analysieren. Da die Verhaltensüberwachung beobachtet, wie sich die Software in Echtzeit verhält, kann sie sich schnell an neue und sich entwickelnde Bedrohungen anpassen und diese blockieren.

Voraussetzungen

• Das Gerät muss in Microsoft Defender for Endpoint integriert werden.
• Vorschaufeatures müssen im Microsoft Defender-Portal aktiviert sein.
• Das Gerät muss sich im Beta-Kanal (früher InsiderFast) befinden.
• Die Mindestversionsnummer Microsoft Defender for Endpoint muss Beta (Insiders-Fast): 101.24042.0002 oder höher sein. Die Versionsnummer bezieht sich auf das app_version (auch als Plattformupdate bezeichnet).
• Echtzeitschutz (Real-Time Protection, RTP) muss aktiviert sein.
• Der von der Cloud bereitgestellte Schutz muss aktiviert sein.
• Das Gerät muss explizit im Vorschauprogramm registriert werden.

Bereitstellungsanweisungen für die Verhaltensüberwachung

Um die Verhaltensüberwachung in Microsoft Defender for Endpoint unter macOS bereitzustellen, müssen Sie die Verhaltensüberwachungsrichtlinie mit einer der folgenden Methoden ändern:

• Intune
• JamF oder andere nicht von Microsoft stammende MDM
• Manuell

In den folgenden Abschnitten werden diese Methoden ausführlich beschrieben.

Intune Bereitstellung

1. Kopieren Sie den folgenden XML-Code, um eine PLIST-Datei zu erstellen, und speichern Sie sie als BehaviorMonitoring_for_MDE_on_macOS.mobileconfig.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Öffnen SieGerätekonfigurationsprofile>.

3. Wählen Sie Profil erstellen und dann Neue Richtlinie aus.

4. Geben Sie dem Profil einen Namen. Ändern Sie Platform=macOS in Profiltyp=Vorlagen , und wählen Sie im Abschnitt Vorlagenname die Option Benutzerdefiniert aus. Wählen Sie Konfigurieren aus.

5. Wechseln Sie zu der plist-Datei, die Sie zuvor gespeichert haben, und speichern Sie sie als com.microsoft.wdav.xml.

6. Geben Sie com.microsoft.wdav als Namen des benutzerdefinierten Konfigurationsprofils ein.

7. Öffnen Sie das Konfigurationsprofil, laden Sie die com.microsoft.wdav.xml Datei hoch, und wählen Sie OK aus.

8. Wählen SieZuweisungenverwalten> aus. Wählen Sie auf der Registerkarte Einschließen die Option Zu allen Benutzern & Alle Geräte oder zu einer Gerätegruppe oder Benutzergruppe zuweisen aus.

JamF-Bereitstellung

1. Kopieren Sie den folgenden XML-Code, um eine PLIST-Datei zu erstellen, und speichern Sie sie als Speichern unter BehaviorMonitoring_for_MDE_on_macOS.plist.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. Wählen Sie unterComputerkonfigurationsprofile>die Option Optionen>Anwendungen & Benutzerdefinierte Einstellungen aus.

3. Wählen Sie Datei hochladen (PLIST-Datei ) aus.

4. Einstellungsdomäne auf com.microsoft.wdav festlegen

5. Laden Sie die zuvor gespeicherte plist-Datei hoch.

Weitere Informationen finden Sie unter Festlegen von Einstellungen für Microsoft Defender for Endpoint unter macOS.

Manuelle Bereitstellung

Sie können die Verhaltensüberwachung unter macOS unter Microsoft Defender for Endpoint aktivieren, indem Sie den folgenden Befehl im Terminal ausführen:

sudo mdatp config behavior-monitoring --value enabled

So deaktivieren Sie Folgendes:

sudo mdatp config behavior-monitoring --value disabled

Weitere Informationen finden Sie unter Ressourcen für Microsoft Defender for Endpoint unter macOS.

So testen Sie die Verhaltensüberwachung (Verhinderung/Blockerkennung)

Weitere Informationen finden Sie unter Demonstration der Verhaltensüberwachung.

Überprüfen von Verhaltensüberwachungserkennungen

Die vorhandene Microsoft Defender for Endpoint unter macOS-Befehlszeilenschnittstelle kann verwendet werden, um Details zur Verhaltensüberwachung und Artefakte zu überprüfen.

sudo mdatp threat list

Häufig gestellte Fragen (FAQ)

Was geschieht, wenn ich eine Erhöhung der CPU- oder Arbeitsspeicherauslastung sehe?

Deaktivieren Sie die Verhaltensüberwachung, und überprüfen Sie, ob das Problem behoben ist.

• Wenn das Problem nicht behoben wird, steht es nicht im Zusammenhang mit der Verhaltensüberwachung.
• Wenn das Problem nicht mehr besteht, laden Sie die XMDE-Clientanalyse herunter, und wenden Sie sich dann an den Microsoft-Support.

Netzwerk-Echtzeitüberprüfung für macOS

Wichtig

Einige Informationen beziehen sich auf vorab veröffentlichte Produkte, die vor der kommerziellen Veröffentlichung erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Die Netzwerk-Echtzeitüberprüfung (Network Real-Time Inspection, NRI) für macOS verbessert den Echtzeitschutz (RTP), indem die Verhaltensüberwachung zusammen mit Datei-, Prozess- und anderen Ereignissen verwendet wird, um verdächtige Aktivitäten zu erkennen. Die Verhaltensüberwachung löst sowohl Telemetriedaten als auch Beispielübermittlungen für verdächtige Dateien aus, die Microsoft vom Cloudschutz-Back-End analysieren und an das Clientgerät übermittelt wird, was zu einer Entfernung der Bedrohung führt.

Wirkt sich dies auf die Leistung aus?

NRI sollte nur geringe Auswirkungen auf die Netzwerkleistung haben. Anstatt die Verbindung zu halten und zu blockieren, erstellt NRI eine Kopie des Pakets, während es das Netzwerk durchquert, und NRI führt eine asynchrone Überprüfung durch.

Hinweis

Wenn die Netzwerk-Echtzeitüberprüfung (Network Real-Time Inspection, NRI) für macOS aktiviert ist, kann es zu einer leichten Zunahme der Arbeitsspeicherauslastung kommen.

Anforderungen für NRI für macOS

• Das Gerät muss in Microsoft Defender for Endpoint integriert werden.
• Vorschaufeatures müssen im Microsoft Defender-Portal aktiviert sein.
• Das Gerät muss sich im Beta-Kanal (früher InsiderFast) befinden.
• Die Mindestversionsnummer für Defender für Endpunkt muss Beta (Insiders-Fast): 101.24092.0004 oder höher sein. Die Versionsnummer bezieht sich auf das app version (auch als Plattformupdate bezeichnet).
• Echtzeitschutz muss aktiviert sein.
• Die Verhaltensüberwachung muss aktiviert sein.
• Der von der Cloud bereitgestellte Schutz muss aktiviert sein.
• Das Gerät muss explizit für die Vorschau registriert werden.

Bereitstellungsanweisungen für NRI für macOS

1. Senden Sie uns eine E-Mail an mit NRIonMacOS@microsoft.com Informationen zu Ihrer Microsoft Defender for Endpoint OrgID, wo Sie die Netzwerk-Echtzeitüberprüfung (NETWORK Real-Time Inspection, NRI) für macOS aktivieren möchten.

   Wichtig

   Um NRI für macOS auszuwerten, senden Sie eine E-Mail an NRIonMacOS@microsoft.com. Geben Sie Ihre Organisations-ID für Defender für Endpunkt an. Wir aktivieren dieses Feature pro Anforderung für jeden Mandanten.

2. Aktivieren Sie die Verhaltensüberwachung, wenn sie noch nicht aktiviert ist:

   
   sudo mdatp config behavior-monitoring --value enabled
   
   

3. Aktivieren des Netzwerkschutzes im Blockmodus:

   
   sudo mdatp config network-protection enforcement-level --value block
   
   

4. Aktivieren der Netzwerk-Echtzeitüberprüfung (NETWORK Real-Time Inspection, NRI):

   
   sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"
   
   
   

   Hinweis

   Da die Einstellung in der öffentlichen Vorschau über eine Befehlszeile festgelegt wird, werden Neustarts der Netzwerk-Echtzeitüberprüfung (Network Real-Time Inspection, NRI) nicht beibehalten. Sie müssen sie erneut aktivieren.