macOS 上の Microsoft Defender ウイルス対策での動作監視
適用対象:
- XDR のMicrosoft Defender
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Business
- 個人向けMicrosoft Defender
- Microsoft Defender ウイルス対策
- サポートされている macOS のバージョン
重要
一部の情報は、事前にリリースされた製品に関連しており、商用リリース前に大幅に変更される可能性があります。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
動作監視の概要
動作監視は、プロセスの動作を監視し、システム内のアプリケーション、デーモン、ファイルの動作に基づいて潜在的な脅威を検出および分析します。 動作監視では、ソフトウェアの動作がリアルタイムで観察されるため、新しく進化する脅威に迅速に適応してブロックできます。
前提条件
- デバイスをMicrosoft Defender for Endpointにオンボードする必要があります。
- プレビュー機能は、Microsoft Defender ポータルで有効にする必要があります。
- デバイスは ベータ チャネル (以前の
InsiderFast) に存在する必要があります。 - 最小Microsoft Defender for Endpointバージョン番号は Beta (Insiders-Fast): 101.24042.0002 以降である必要があります。 バージョン番号は、
app_version( プラットフォーム更新プログラムとも呼ばれます) を参照します。 - リアルタイム保護 (RTP) を有効にする必要があります。
- クラウド配信の保護 を有効にする必要があります。
- デバイスをプレビュー プログラムに明示的に登録する必要があります。
動作監視のデプロイ手順
macOS 上のMicrosoft Defender for Endpointで動作監視を展開するには、次のいずれかの方法を使用して動作監視ポリシーを変更する必要があります。
以降のセクションでは、これらの各メソッドについて詳しく説明します。
デプロイのIntune
次の XML をコピーして .plist ファイルを作成し、BehaviorMonitoring_for_MDE_on_macOS.mobileconfig として保存します
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>[デバイス>構成プロファイル] を開きます。
[ プロファイルの作成 ] を選択し、[ 新しいポリシー] を選択します。
プロファイルに名前を付けます。 [Platform=macOS] を [プロファイルの種類] =[テンプレート] に変更し、[テンプレート名] セクションで [カスタム] を選択します。 [構成] を選択します。
前に保存した plist ファイルに移動し、
com.microsoft.wdav.xmlとして保存します。カスタム構成プロファイル名として「
com.microsoft.wdav」と入力します。構成プロファイルを開き、
com.microsoft.wdav.xmlファイルをアップロードし、[OK] を選択します。[ 管理>割り当て] を選択します。 [含める] タブで、[すべてのユーザーに割り当てる] & [すべてのデバイス] または [デバイス グループ] または [ユーザー グループ] を選択します。
JamF デプロイ
次の XML をコピーして .plist ファイルを作成し、 BehaviorMonitoring_for_MDE_on_macOS.plist として保存します
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>[コンピューター>構成プロファイル] で、[オプション>Applications & カスタム設定] を選択します。
[ ファイルのアップロード (.plist ファイル)] を選択します。
優先ドメインを com.microsoft.wdav に設定する
前に保存した plist ファイルをアップロードします。
詳細については、「macOS でMicrosoft Defender for Endpointの基本設定を設定する」を参照してください。
手動展開
macOS のMicrosoft Defender for Endpointで動作監視を有効にするには、ターミナルから次のコマンドを実行します。
sudo mdatp config behavior-monitoring --value enabled
無効にするには:
sudo mdatp config behavior-monitoring --value disabled
詳細については、「macOS でのMicrosoft Defender for Endpointのリソース」を参照してください。
動作監視 (防止/ブロック) の検出をテストするには
「 動作監視のデモ」を参照してください。
動作監視の検出の検証
macOS コマンド ライン インターフェイスの既存のMicrosoft Defender for Endpointを使用して、動作監視の詳細と成果物を確認できます。
sudo mdatp threat list
よく寄せられる質問 (FAQ)
CPU 使用率またはメモリ使用率が増加した場合はどうすればよいですか?
動作の監視を無効にし、問題が解決するかどうかを確認します。
- 問題が解決しない場合、動作監視には関係ありません。
- 問題が解決した場合は、 XMDE クライアント アナライザーをダウンロードし、Microsoft サポートにお問い合わせください。
macOS のネットワーク リアルタイム検査
重要
一部の情報は、事前にリリースされた製品に関連しており、商用リリース前に大幅に変更される可能性があります。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
macOS のネットワーク リアルタイム検査 (NRI) 機能は、ファイル、プロセス、その他のイベントと連携して 動作監視 を使用して、疑わしいアクティビティを検出することで、リアルタイム保護 (RTP) を強化します。 動作監視では、クラウド保護バックエンドから分析するために、疑わしいファイルに対するテレメトリとサンプル送信の両方がトリガーされ、クライアント デバイスに配信され、脅威が削除されます。
パフォーマンスに影響はありますか?
NRI は、ネットワーク パフォーマンスへの影響が少ないはずです。 NRI は、接続を保持してブロックする代わりに、ネットワークを通過する際にパケットのコピーを作成し、NRI は非同期検査を実行します。
注:
macOS のネットワーク リアルタイム検査 (NRI) が有効になっていると、メモリ使用率がわずかに増加する可能性があります。
macOS の NRI の要件
- デバイスをMicrosoft Defender for Endpointにオンボードする必要があります。
- プレビュー機能は、Microsoft Defender ポータルで有効にする必要があります。
- デバイスはベータ チャネル (以前の
InsiderFast) に存在する必要があります。 - Defender for Endpoint バージョン番号の最小バージョン番号は Beta (Insiders-Fast): 101.24092.0004 以降である必要があります。 バージョン番号は、
app version(プラットフォーム更新プログラムとも呼ばれます) を参照します。 - リアルタイム保護を有効にする必要があります。
- 動作の監視を有効にする必要があります。
- クラウド配信の保護を有効にする必要があります。
- デバイスをプレビューに明示的に登録する必要があります。
macOS 用 NRI のデプロイ手順
macOS 用のネットワーク リアルタイム検査 (NRI) を有効にしたいMicrosoft Defender for Endpoint OrgID に関する情報を
NRIonMacOS@microsoft.comでメールでお寄せください。重要
macOS の NRI を評価するには、
NRIonMacOS@microsoft.comに電子メールを送信します。 Defender for Endpoint Org ID を含めます。 この機能は、テナントごとに要求ごとに有効になっています。動作監視がまだ有効になっていない場合は、次の操作を有効にします。
sudo mdatp config behavior-monitoring --value enabledブロック モードでネットワーク保護を有効にする:
sudo mdatp config network-protection enforcement-level --value blockネットワーク リアルタイム検査 (NRI) を有効にします。
sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"注:
パブリック プレビューでは、設定がコマンド ラインを介して設定されているため、ネットワーク リアルタイム検査 (NRI) は再起動を保持しません。 再度有効にする必要があります。