Jaa

Toiminnan valvonta Microsoft Defenderin virustentorjuntaohjelmassa macOS:ssä

  • Artikkeli

Koskee seuraavia:

Tärkeää

Jotkin tiedot liittyvät esi julkaistuun tuotteeseen, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna nimenomaisia eikä oletettuja takuita tässä annetuista tiedoista.

Ennakkovaatimukset

  • Laite on otettu käyttöön Microsoft Defender for Endpointissa.
  • Esikatselutoiminnot ovat käytössä Microsoft XDR -portaalissa (https://security.microsoft.com).
  • Laitteen on oltava beetakanavassa (aiemmin InsiderFast).
  • Microsoft Defender for Endpointin vähimmäisversionumeron on oltava beetaversio (Insiders-Fast): 101.24042.0002 tai uudempi. Versionumero viittaa app_version (kutsutaan myös käyttöympäristöpäivitykseksi).
  • Varmista, että Real-Time Protection (RTP) on käytössä.
  • Varmista , että pilvipalveluun toimitettu suojaus on käytössä.
  • Laite on rekisteröitävä eksplisiittisesti esikatseluun.

Yleiskatsaus

Toiminnan valvonta valvoo prosessin toimintaa mahdollisten uhkien havaitsemiseksi ja analysoimiseksi järjestelmän sovellusten, daemonin ja tiedostojen toiminnan perusteella. Kun toiminnan seuranta havaitsee, miten ohjelmisto toimii reaaliaikaisesti, se voi sopeutua nopeasti uusiin ja muuttuviin uhkiin ja estää ne.

Käyttöönotto-ohjeet

Jos haluat ottaa käyttöön toiminnan valvonnan Microsoft Defender for Endpointissa macOS:ssä, sinun on muutettava toiminnan valvontakäytäntöä jollakin seuraavista menetelmistä:

Seuraavissa osissa kuvataan kukin näistä menetelmistä yksityiskohtaisesti.

Intunen käyttöönotto

  1. Luo .plist-tiedosto kopioimalla seuraava XML-koodi ja tallenna se muodossa BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadUUID</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadOrganization</key>
        <string>Microsoft</string>
        <key>PayloadIdentifier</key>
        <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
        <key>PayloadDisplayName</key>
        <string>Microsoft Defender for Endpoint settings</string>
        <key>PayloadDescription</key>
        <string>Microsoft Defender for Endpoint configuration settings</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
        <key>PayloadEnabled</key>
        <true/>
        <key>PayloadRemovalDisallowed</key>
        <true/>
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadUUID</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadType</key>
                <string>com.microsoft.wdav</string>
                <key>PayloadOrganization</key>
                <string>Microsoft</string>
                <key>PayloadIdentifier</key>
                <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                <key>PayloadDisplayName</key>
                <string>Microsoft Defender for Endpoint configuration settings</string>
                <key>PayloadDescription</key>
                <string/>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>PayloadEnabled</key>
                <true/>
                <key>antivirusEngine</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                </dict>
                <key>features</key>
                <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
                <key>behaviorMonitoringConfigurations</key>
                <dict>
                <key>blockExecution</key>
                <string>enabled</string>
                <key>notifyForks</key>
                <string>enabled</string>
                <key>forwardRtpToBm</key>
                <string>enabled</string>
                <key>avoidOpenCache</key>
                <string>enabled</string>
                                 </dict>
                    </dict>
            </dict>
        </array>
    </dict>
</plist>

  2. Avaa Laitteiden>määritysprofiilit.

  3. Valitse Luo profiili ja valitse Uusi käytäntö.

  4. Anna profiilille nimi. Vaihda Platform=macOSprofiilityypiksi=Mallit ja valitse Mallin nimi -osassa Mukautettu. Valitse Määritä.

  5. Siirry aiemmin tallentamaani plist-tiedostoon ja tallenna se nimellä com.microsoft.wdav.xml.

  6. Anna com.microsoft.wdavmukautetun määritysprofiilin nimi.

  7. Avaa määritysprofiili ja lataa com.microsoft.wdav.xml tiedosto ja valitse OK.

  8. Valitse Hallitse>varauksia. Valitse Sisällytä-välilehdessäMääritä kaikille käyttäjille & Kaikki laitteet tai Laiteryhmälle tai Käyttäjäryhmälle.

JamF-käyttöönoton kautta

  1. Luo .plist-tiedosto kopioimalla seuraava XML-koodi ja tallenna se nimellä Tallenna nimellä BehaviorMonitoring_for_MDE_on_macOS.plist

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>antivirusEngine</key>
            <dict>
                <key>behaviorMonitoring</key>
                <string>enabled</string>
            </dict>
                <key>features</key>
                     <dict>
                         <key>behaviorMonitoring</key>
                         <string>enabled</string>
                         <key>behaviorMonitoringConfigurations</key>
                             <dict>
                                 <key>blockExecution</key>
                                 <string>enabled</string>
                                 <key>notifyForks</key>
                                 <string>enabled</string>
                                 <key>forwardRtpToBm</key>
                                 <string>enabled</string>
                                 <key>avoidOpenCache</key>
                                 <string>enabled</string>
                             </dict>
                     </dict>
    </dict>
</plist>

  2. ValitseTietokoneet-määritysprofiilit-kohdassa>Asetukset Sovellukset>& Mukautetut asetukset,

  3. Valitse Lataa tiedosto (.plist-tiedosto ).

  4. Määritä oletustoimialue asetukseksi com.microsoft.wdav

  5. Lataa aiemmin tallennettu plist-tiedosto.

Lisätietoja on ohjeaiheessa Microsoft Defenderin asetusten määrittäminen macOS:n päätepisteelle.

Manuaalinen käyttöönotto

Voit ottaa toiminnan seurannan käyttöön Microsoft Defender for Endpointissa macOS:ssä suorittamalla seuraavan komennon päätteestä:

sudo mdatp config behavior-monitoring --value enabled

Käytöstä poistaminen:

sudo mdatp config behavior-monitoring --value disabled

Lisätietoja on ohjeaiheessa Microsoft Defender for Endpointin resurssit macOS:ssä.

Toiminnan seurannan (eston/eston) tunnistuksen testaaminen

Katso Toiminnan seurannan esittely.

Tarkistetaan toiminnan seurannan tunnistusta

Aiemmin luotua Microsoft Defender for Endpoint on macOS -komentorivikäyttöliittymää voidaan käyttää toiminnan valvontatietojen ja artefaktien tarkistamiseen.

sudo mdatp threat list

Usein kysytyt kysymykset

Entä jos suorittimen tai muistin käyttö kasvaa?

Poista toiminnan valvonta käytöstä ja tarkista, poistuuko ongelma.

  • Jos ongelma ei poistu, se ei liity toiminnan valvontaan.
  • Jos ongelma poistuu, ota aka.ms/xMDEClientAnalyzer ja ota yhteyttä Microsoftin tukeen.