Toiminnan valvonta Microsoft Defender virustentorjuntaohjelmassa macOS:ssä
Koskee seuraavia:
- XDR-Microsoft Defender
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Business
- Microsoft Defender yksityishenkilöille
- Microsoft Defenderin virustentorjunta
- MacOS:n tuetut versiot
Tärkeää
Jotkin tiedot liittyvät esi julkaistuun tuotteeseen, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Toiminnan seurannan yleiskatsaus
Toiminnan valvonta valvoo prosessin toimintaa mahdollisten uhkien havaitsemiseksi ja analysoimiseksi järjestelmän sovellusten, daemonin ja tiedostojen toiminnan perusteella. Kun toiminnan seuranta havaitsee, miten ohjelmisto toimii reaaliaikaisesti, se voi sopeutua nopeasti uusiin ja muuttuviin uhkiin ja estää ne.
Ennakkovaatimukset
- Laitteen on oltava käytössä, jotta se voidaan Microsoft Defender for Endpoint.
- Esikatselutoiminnot on otettava käyttöön Microsoft Defender portaalissa.
- Laitteen on oltava beetakanavassa (aiemmin
InsiderFast). - Microsoft Defender for Endpoint versionumeron on oltava vähintään beetaversio (Insiders-Fast): 101.24042.0002 tai uudempi. Versionumero viittaa kohteeseen
app_version(tunnetaan myös nimellä Käyttöympäristön päivitys). - Reaaliaikainen suojaus (RTP) on otettava käyttöön.
- Pilvipalveluun toimitettu suojaus on otettava käyttöön.
- Laite on rekisteröitävä eksplisiittisesti esikatseluohjelmaan.
Käyttöönotto-ohjeet toiminnan valvontaa varten
Jos haluat ottaa käyttöön toiminnan seurannan Microsoft Defender for Endpoint macOS:ssä, sinun on muutettava toiminnan valvontakäytäntöä jollakin seuraavista menetelmistä:
Seuraavissa osissa kuvataan kukin näistä menetelmistä yksityiskohtaisesti.
Intune käyttöönotto
Luo .plist-tiedosto kopioimalla seuraava XML-koodi ja tallenna se muodossa BehaviorMonitoring_for_MDE_on_macOS.mobileconfig
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>Avaa Laitteiden>määritysprofiilit.
Valitse Luo profiili ja valitse Uusi käytäntö.
Anna profiilille nimi. Vaihda Platform=macOSprofiilityypiksi=Mallit ja valitse Mallin nimi -osassa Mukautettu. Valitse Määritä.
Siirry aiemmin tallentamaani plist-tiedostoon ja tallenna se nimellä
com.microsoft.wdav.xml.Anna
com.microsoft.wdavmukautetun määritysprofiilin nimi.Avaa määritysprofiili ja lataa
com.microsoft.wdav.xmltiedosto ja valitse OK.Valitse Hallitse>varauksia. Valitse Sisällytä-välilehdessäMääritä kaikille käyttäjille & Kaikki laitteet tai Laiteryhmälle tai Käyttäjäryhmälle.
JamF-käyttöönotto
Luo .plist-tiedosto kopioimalla seuraava XML-koodi ja tallenna se nimellä Tallenna nimellä BehaviorMonitoring_for_MDE_on_macOS.plist
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>ValitseTietokoneet-määritysprofiilit-kohdassa>Asetukset Sovellukset>& Mukautetut asetukset,
Valitse Lataa tiedosto (.plist-tiedosto ).
Määritä oletustoimialue asetukseksi com.microsoft.wdav
Lataa aiemmin tallennettu plist-tiedosto.
Lisätietoja on ohjeaiheessa Microsoft Defender for Endpoint asetusten määrittäminen macOS:ssä.
Manuaalinen käyttöönotto
Voit ottaa toiminnan seurannan käyttöön Microsoft Defender for Endpoint macOS:ssä suorittamalla seuraavan komennon päätteestä:
sudo mdatp config behavior-monitoring --value enabled
Käytöstä poistaminen:
sudo mdatp config behavior-monitoring --value disabled
Lisätietoja on ohjeaiheessa MacOS Microsoft Defender for Endpoint resurssit.
Toiminnan seurannan (eston/eston) tunnistuksen testaaminen
Katso Toiminnan seurannan esittely.
Tarkistetaan toiminnan seurannan tunnistuksia
MacOS-komentorivikäyttöliittymän olemassa olevaa Microsoft Defender for Endpoint avulla voidaan tarkastella toiminnan valvonnan tietoja ja artefakteja.
sudo mdatp threat list
Usein kysytyt kysymykset
Entä jos suorittimen tai muistin käyttö kasvaa?
Poista toiminnan valvonta käytöstä ja katso, katoaako ongelma.
- Jos ongelma ei poistu, se ei liity toiminnan valvontaan.
- Jos ongelma poistuu, lataa XMDE Client Analyzer ja ota sitten yhteyttä Microsoftin tukeen.
MacOS:n reaaliaikainen verkkotarkastus
Tärkeää
Jotkin tiedot liittyvät esi julkaistuun tuotteeseen, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.
Verkon reaaliaikainen tarkastus (NRI) macOS-ominaisuudelle parantaa reaaliaikaista suojausta (RTP) käyttämällä käyttäytymisvalvontaa yhdessä tiedoston, prosessin ja muiden tapahtumien kanssa epäilyttävän toiminnan havaitsemiseksi. Toiminnan valvonta käynnistää sekä telemetriatiedot että mallilähetykset epäilyttävissä tiedostoissa, joita Microsoft analysoi pilvisuojauksen taustalta, ja toimitetaan asiakaslaitteeseen, mikä johtaa uhan poistamiseen.
Onko sillä vaikutusta suorituskykyyn?
NRI:n pitäisi vaikuttaa verkon suorituskykyyn vain vähän. Sen sijaan, että NRI pitäisi liitäntää ja estoa hallussaan, se tekee kopion paketista, kun se ylittää verkon, ja NRI suorittaa asynkronisen tarkastuksen.
Huomautus
Kun verkon reaaliaikainen tarkastus (NRI) macOS:lle on käytössä, muistin käyttö saattaa hieman lisääntyä.
MacOS:n NRI:n vaatimukset
- Laitteen on oltava käytössä, jotta se voidaan Microsoft Defender for Endpoint.
- Esikatselutoiminnot on otettava käyttöön Microsoft Defender portaalissa.
- Laitteen on oltava beetakanavassa (aiemmin
InsiderFast). - Defender for Endpoint -versionumeron vähimmäisversionumeron on oltava beetaversio (Insiders-Fast): 101.24092.0004 tai uudempi. Versionumero viittaa kohteeseen
app version(tunnetaan myös nimellä Käyttöympäristön päivitys). - Reaaliaikainen suojaus on otettava käyttöön.
- Toiminnan valvonta on otettava käyttöön.
- Pilvipalveluun toimitettu suojaus on otettava käyttöön.
- Laite on rekisteröitävä eksplisiittisesti esikatseluun.
NRI for macOS:n käyttöönotto-ohjeet
Lähetä meille sähköpostitse
NRIonMacOS@microsoft.comtietoja Microsoft Defender for Endpoint OrgID:stä, jossa haluat ottaa macOS:n verkon reaaliaikaisen tarkastuksen (NRI) käyttöön.Tärkeää
Jos haluat arvioida NRI for macOS:n, lähetä sähköpostia osoitteeseen
NRIonMacOS@microsoft.com. Sisällytä Defender for Endpoint Org -tunnus. Tämä ominaisuus otetaan käyttöön pyyntökohtaisesti kullekin vuokraajalle.Ota käyttöön toiminnan valvonta, jos se ei ole vielä käytössä:
sudo mdatp config behavior-monitoring --value enabledOta verkon suojaus käyttöön lohkotilassa:
sudo mdatp config network-protection enforcement-level --value blockOta käyttöön verkon reaaliaikainen tarkastus (NRI):
sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"Huomautus
Kun tämä ominaisuus on esikatselussa ja asetus on määritetty komentorivin avulla, verkon reaaliaikainen tarkastus (NRI) ei säily uudelleenkäynnistysten jälkeen. Se on otettava uudelleen käyttöön.