Overvåking av virkemåte i Microsoft Defender Antivirus på macOS

Gjelder for:

• Microsoft Defender for XDR
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for Business
• Microsoft Defender for enkeltpersoner
• Microsoft Defender Antivirus
• Støttede versjoner av macOS

Viktig

Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

Oversikt over overvåking av virkemåte

Overvåking av virkemåte overvåker prosessatferd for å oppdage og analysere potensielle trusler basert på virkemåten til programmer, daemoner og filer i systemet. Som atferdsovervåking observerer hvordan programvaren oppfører seg i sanntid, kan den tilpasse seg raskt til nye og utviklende trusler og blokkere dem.

Forutsetninger

• Enheten må være pålastet for å Microsoft Defender for endepunkt.
• Forhåndsvisningsfunksjoner må være aktivert i Microsoft Defender-portalen.
• Enheten må være i Beta-kanalen (tidligere InsiderFast).
• Det minste Microsoft Defender for endepunkt versjonsnummeret må være Beta (Insiders-Fast): 101.24042.0002 eller nyere. Versjonsnummeret refererer til app_version (også kjent som plattformoppdatering).
• Sanntidsbeskyttelse (RTP) må være aktivert.
• Skybasert beskyttelse må være aktivert.
• Enheten må være eksplisitt registrert i forhåndsvisningsprogrammet.

Distribusjonsinstruksjoner for virkemåteovervåking

Hvis du vil distribuere virkemåteovervåking i Microsoft Defender for endepunkt på macOS, må du endre policyen for virkemåteovervåking ved hjelp av én av følgende metoder:

• Intune
• JamF eller andre ikke-Microsoft MDM
• Manuelt

Avsnittene nedenfor beskriver hver av disse metodene i detalj.

Intune distribusjon

1. Kopier følgende XML-kode for å opprette en PLIST-fil og lagre den som BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Åpne konfigurasjonsprofiler for enheter>.

3. Velg Opprett profil , og velg Ny policy.

4. Gi profilen et navn. Endre Plattform=macOS til Profiltype=Maler , og velg Egendefinert i delen med malnavn. Velg Konfigurer.

5. Gå til plist-filen du lagret tidligere, og lagre den som com.microsoft.wdav.xml.

6. Angi com.microsoft.wdav som profilnavn for egendefinert konfigurasjon.

7. Åpne konfigurasjonsprofilen, last opp com.microsoft.wdav.xml filen, og velg OK.

8. Velg Behandle>oppgaver. Velg Tilordne til alle brukere & Alle enheter eller til en enhetsgruppe eller brukergruppe i kategorien Inkluder.

JamF-distribusjon

1. Kopier følgende XML-kode for å opprette en PLIST-fil og lagre den som Lagre som BehaviorMonitoring_for_MDE_on_macOS.plist

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. Velg Alternativer>programmer & Egendefinerte innstillinger iKonfigurasjonsprofiler for datamaskiner>.

3. Velg Last opp fil (PLIST-fil ).

4. Angi innstillingsdomenet til com.microsoft.wdav

5. Last opp plist-filen som ble lagret tidligere.

Hvis du vil ha mer informasjon, kan du se: Angi innstillinger for Microsoft Defender for endepunkt på macOS.

Manuell distribusjon

Du kan aktivere virkemåteovervåking på Microsoft Defender for endepunkt på macOS ved å kjøre følgende kommando fra terminalen:

sudo mdatp config behavior-monitoring --value enabled

Slik deaktiverer du:

sudo mdatp config behavior-monitoring --value disabled

Hvis du vil ha mer informasjon, kan du se: Ressurser for Microsoft Defender for endepunkt på macOS.

Slik tester du overvåking av virkemåte (forebygging/blokk)

Se demonstrasjon av virkemåteovervåking.

Kontrollere gjenkjenning av virkemåteovervåking

Eksisterende Microsoft Defender for endepunkt på macOS-kommandolinjegrensesnittet kan brukes til å se gjennom virkemåteovervåkingsdetaljer og -artefakter.

sudo mdatp threat list

Vanlige spørsmål

Hva om jeg ser en økning i prosessorutnyttelse eller minneutnyttelse?

Deaktiver overvåking av virkemåte og se om problemet forsvinner.

• Hvis problemet ikke forsvinner, er det ikke relatert til overvåking av virkemåte.
• Hvis problemet forsvinner, laster du ned XMDE Client Analyzer, og deretter kontakter du Microsoft Kundestøtte.

Nettverksinspeksjon i sanntid for macOS

Viktig

Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.

Nettverkets sanntidsinspeksjon (NRI) for macOS-funksjonen forbedrer sanntidsbeskyttelse (RTP) ved hjelp av atferdsovervåking sammen med fil, prosess og andre hendelser for å oppdage mistenkelig aktivitet. Overvåking av virkemåte utløser både telemetri og eksempelinnsendinger på mistenkelige filer som Microsoft kan analysere fra bakserveren for skybeskyttelse, og leveres til klientenheten, noe som resulterer i fjerning av trusselen.

Har det innvirkning på ytelsen?

NRI bør ha lav innvirkning på nettverksytelsen. I stedet for å holde tilkoblingen og blokkeringen, lager NRI en kopi av pakken når den krysser nettverket, og NRI utfører en asynkron inspeksjon.

Obs!

Når NRI (Network Real-Time Inspection) for macOS er aktivert, kan det hende du ser en liten økning i minneutnyttelsen.

Krav til NRI for macOS

• Enheten må være pålastet for å Microsoft Defender for endepunkt.
• Forhåndsvisningsfunksjoner må være aktivert i Microsoft Defender-portalen.
• Enheten må være i Beta-kanalen (tidligere InsiderFast).
• Minste versjonsnummer for Defender for endepunktversjonsnummer må være Beta (Insiders-Fast): 101.24092.0004 eller nyere. Versjonsnummeret refererer til app version (også kjent som plattformoppdatering).
• Sanntidsbeskyttelse må være aktivert.
• Overvåking av virkemåte må være aktivert.
• Skybasert beskyttelse må være aktivert.
• Enheten må være eksplisitt registrert i forhåndsvisningen.

Distribusjonsinstruksjoner for NRI for macOS

1. E-post oss på NRIonMacOS@microsoft.com med informasjon om din Microsoft Defender for endepunkt OrgID der du ønsker å ha nettverk sanntidsinspeksjon (NRI) for macOS aktivert.

   Viktig

   Send e-post til NRIonMacOS@microsoft.comfor å evaluere NRI for macOS. Inkluder Organisasjons-ID-en din for Defender for Endpoint. Vi aktiverer denne funksjonen per forespørsel for hver leier.

2. Aktiver overvåking av virkemåte hvis den ikke allerede er aktivert:

   
   sudo mdatp config behavior-monitoring --value enabled
   
   

3. Aktiver nettverksbeskyttelse i blokkmodus:

   
   sudo mdatp config network-protection enforcement-level --value block
   
   

4. Aktiver nettverksinspeksjon i sanntid (NRI):

   
   sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"
   
   
   

   Obs!

   Selv om denne funksjonen er i forhåndsversjon, og fordi innstillingen er angitt ved hjelp av kommandolinjen, vedvarer ikke NRI (network real-time inspection) etter omstart. Du må aktivere den på nytt.