Supervisión del comportamiento en Microsoft Defender Antivirus en macOS

Se aplica a:

• Microsoft Defender para XDR
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para Empresas
• Microsoft Defender para individuos
• Antivirus de Microsoft Defender
• Versiones admitidas de macOS

Importante

Algunas informaciones se refieren al producto publicado previamente, que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Introducción a la supervisión del comportamiento

La supervisión del comportamiento supervisa el comportamiento de los procesos para detectar y analizar posibles amenazas en función del comportamiento de las aplicaciones, los demonios y los archivos dentro del sistema. A medida que la supervisión del comportamiento observa cómo se comporta el software en tiempo real, puede adaptarse rápidamente a las amenazas nuevas y en constante evolución y bloquearlas.

Requisitos previos

• El dispositivo debe incorporarse a Microsoft Defender para punto de conexión.
• Las características de versión preliminar deben estar habilitadas en el portal de Microsoft Defender.
• El dispositivo debe estar en el canal Beta (anteriormente InsiderFast).
• El número de versión mínimo de Microsoft Defender para punto de conexión debe ser Beta (Insiders-Fast): 101.24042.0002 o posterior. El número de versión hace referencia a app_version (también conocido como actualización de plataforma).
• La protección en tiempo real (RTP) debe estar habilitada.
• La protección entregada en la nube debe estar habilitada.
• El dispositivo debe inscribirse explícitamente en el programa de versión preliminar.

Instrucciones de implementación para la supervisión del comportamiento

Para implementar la supervisión del comportamiento en Microsoft Defender para punto de conexión en macOS, debe cambiar la directiva de supervisión de comportamiento mediante uno de los métodos siguientes:

• Intune
• JamF u otra MDM que no sea de Microsoft
• Manualmente

En las secciones siguientes se describe cada uno de estos métodos en detalle.

Implementación de Intune

1. Copie el siguiente XML para crear un archivo .plist y guárdelo como BehaviorMonitoring_for_MDE_on_macOS.mobileconfig.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Abra Perfilesde configuración de dispositivos>.

3. Seleccione Crear perfil y seleccione Nueva directiva.

4. Asigne un nombre al perfil. Cambie Platform=macOS a Profile type=Templates y elija Personalizado en la sección nombre de plantilla. Seleccione Configurar.

5. Vaya al archivo plist que guardó anteriormente y guárdelo como com.microsoft.wdav.xml.

6. Escriba com.microsoft.wdav como el nombre del perfil de configuración personalizado.

7. Abra el perfil de configuración, cargue el com.microsoft.wdav.xml archivo y seleccione Aceptar.

8. Seleccione Administrar>asignaciones. En la pestaña Incluir , seleccione Asignar a todos los usuarios & Todos los dispositivos o a un grupo de dispositivos o grupo de usuarios.

Implementación de JamF

1. Copie el siguiente XML para crear un archivo .plist y guárdelo como Guardar como BehaviorMonitoring_for_MDE_on_macOS.plist

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. EnPerfiles de configuración de equipos>, seleccione Opciones>Aplicaciones & Configuración personalizada,

3. Seleccione Cargar archivo (archivo .plist ).

4. Establecer dominio de preferencia en com.microsoft.wdav

5. Cargue el archivo plist guardado anteriormente.

Para obtener más información, vea: Establecer preferencias para Microsoft Defender para punto de conexión en macOS.

Implementación manual

Puede habilitar la supervisión del comportamiento en Microsoft Defender para punto de conexión en macOS ejecutando el siguiente comando desde terminal:

sudo mdatp config behavior-monitoring --value enabled

Para deshabilitar:

sudo mdatp config behavior-monitoring --value disabled

Para obtener más información, consulte Recursos para Microsoft Defender para punto de conexión en macOS.

Para probar la detección de la supervisión del comportamiento (prevención/bloqueo)

Consulte La demostración de supervisión del comportamiento.

Comprobación de detecciones de supervisión de comportamientos

Los Microsoft Defender para punto de conexión existentes en la interfaz de la línea de comandos de macOS se pueden usar para revisar los detalles y artefactos de supervisión del comportamiento.

sudo mdatp threat list

Preguntas más frecuentes (P+F)

¿Qué ocurre si veo un aumento en el uso de cpu o memoria?

Deshabilite la supervisión del comportamiento y vea si el problema desaparece.

• Si el problema no desaparece, no está relacionado con la supervisión del comportamiento.
• Si el problema desaparece, descargue el analizador de cliente XMDE y, a continuación, póngase en contacto con el soporte técnico de Microsoft.

Inspección en tiempo real de red para macOS

Importante

Algunas informaciones se refieren al producto publicado previamente, que puede modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

La característica de inspección en tiempo real (NRI) de red para macOS mejora la protección en tiempo real (RTP) mediante la supervisión del comportamiento en conjunto con archivos, procesos y otros eventos para detectar actividades sospechosas. La supervisión del comportamiento desencadena envíos de ejemplo y telemetría en archivos sospechosos para que Microsoft analice desde el back-end de protección en la nube y se entrega al dispositivo cliente, lo que da lugar a la eliminación de la amenaza.

¿Hay un impacto en el rendimiento?

El NRI debe tener un impacto bajo en el rendimiento de la red. En lugar de mantener la conexión y el bloqueo, NRI realiza una copia del paquete mientras cruza la red y NRI realiza una inspección asincrónica.

Nota:

Cuando la inspección en tiempo real de red (NRI) para macOS está habilitada, es posible que vea un ligero aumento en el uso de memoria.

Requisitos de NRI para macOS

• El dispositivo debe incorporarse a Microsoft Defender para punto de conexión.
• Las características de versión preliminar deben estar activadas en el portal de Microsoft Defender.
• El dispositivo debe estar en el canal Beta (anteriormente InsiderFast).
• El número de versión mínimo de Defender para punto de conexión debe ser Beta (Insiders-Fast): 101.24092.0004 o posterior. El número de versión hace referencia a app version (también conocido como actualización de plataforma).
• La protección en tiempo real debe estar habilitada.
• La supervisión del comportamiento debe estar habilitada.
• La protección entregada en la nube debe estar habilitada.
• El dispositivo debe inscribirse explícitamente en la versión preliminar.

Instrucciones de implementación de NRI para macOS

1. Envíenos un correo electrónico a NRIonMacOS@microsoft.com con información sobre su orgID de Microsoft Defender para punto de conexión donde desea tener habilitada la inspección en tiempo real (NRI) de red para macOS.

   Importante

   Para evaluar NRI para macOS, envíe un correo electrónico a NRIonMacOS@microsoft.com. Incluya el identificador de la organización de Defender para punto de conexión. Vamos a habilitar esta característica por solicitud para cada inquilino.

2. Habilite la supervisión del comportamiento si aún no está habilitada:

   
   sudo mdatp config behavior-monitoring --value enabled
   
   

3. Habilitar la protección de red en modo de bloque:

   
   sudo mdatp config network-protection enforcement-level --value block
   
   

4. Habilitación de la inspección en tiempo real de red (NRI):

   
   sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"
   
   
   

   Nota:

   Mientras esté en versión preliminar pública, dado que la configuración se establece a través de una línea de comandos, la inspección en tiempo real (NRI) de red no conservará los reinicios. Tendrá que volver a habilitarlo.