Gedragscontrole in Microsoft Defender Antivirus in macOS
Van toepassing op:
- Microsoft Defender voor XDR
- Plan 2 voor Microsoft Defender voor Eindpunt
- Plan 1 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor Bedrijven
- Microsoft Defender voor individuen
- Microsoft Defender Antivirus
- Ondersteunde versies van macOS
Belangrijk
Sommige informatie heeft betrekking op vooraf uitgebrachte producten die aanzienlijk kunnen worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
Overzicht van gedragscontrole
Gedragscontrole bewaakt het procesgedrag om potentiële bedreigingen te detecteren en te analyseren op basis van het gedrag van de toepassingen, daemons en bestanden in het systeem. Als gedragscontrole observeert hoe de software zich in realtime gedraagt, kan deze zich snel aanpassen aan nieuwe en zich ontwikkelende bedreigingen en deze blokkeren.
Vereisten
- Het apparaat moet worden onboardd naar Microsoft Defender voor Eindpunt.
- Preview-functies moeten zijn ingeschakeld in de Microsoft Defender portal.
- Het apparaat moet zich in het bètakanaal bevinden (voorheen
InsiderFast). - Het minimale Microsoft Defender voor Eindpunt versienummer moet Beta (Insiders-Fast): 101.24042.0002 of hoger zijn. Het versienummer verwijst naar de
app_version(ook wel platformupdate genoemd). - Realtime-beveiliging (RTP) moet zijn ingeschakeld.
- Cloudbeveiliging moet zijn ingeschakeld.
- Het apparaat moet expliciet zijn ingeschreven in het preview-programma.
Implementatie-instructies voor gedragscontrole
Als u gedragscontrole wilt implementeren in Microsoft Defender voor Eindpunt in macOS, moet u het beleid voor gedragscontrole wijzigen met behulp van een van de volgende methoden:
In de volgende secties worden deze methoden in detail beschreven.
Intune implementatie
Kopieer de volgende XML om een .plist-bestand te maken en sla het op als BehaviorMonitoring_for_MDE_on_macOS.mobileconfig
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>Open Configuratieprofielen voor apparaten>.
Selecteer Profiel maken en selecteer Nieuw beleid.
Geef het profiel een naam. Wijzig Platform=macOS in Profieltype=Sjablonen en kies Aangepast in de sectie sjabloonnaam. Selecteer Configureren.
Ga naar het plist-bestand dat u eerder hebt opgeslagen en sla het op als
com.microsoft.wdav.xml.Voer in
com.microsoft.wdavals de naam van het aangepaste configuratieprofiel.Open het configuratieprofiel, upload het
com.microsoft.wdav.xmlbestand en selecteer OK.Selecteer Toewijzingen beheren>. Selecteer op het tabblad Opnemende optie Toewijzen aan Alle gebruikers & Alle apparaten of aan een apparaatgroep of gebruikersgroep.
JamF-implementatie
Kopieer de volgende XML om een .plist-bestand te maken en sla het op als Opslaan als BehaviorMonitoring_for_MDE_on_macOS.plist
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>Selecteer inConfiguratieprofielen voor computers>opties>Toepassingen & Aangepaste instellingen,
Selecteer Bestand uploaden (.plist-bestand ).
Voorkeursdomein instellen op com.microsoft.wdav
Upload het plist-bestand dat u eerder hebt opgeslagen.
Zie Voorkeuren instellen voor Microsoft Defender voor Eindpunt in macOS voor meer informatie.
Handmatige implementatie
U kunt gedragscontrole inschakelen op Microsoft Defender voor Eindpunt in macOS door de volgende opdracht uit te voeren vanuit de terminal:
sudo mdatp config behavior-monitoring --value enabled
Ga als volgende te werk om het volgende uit te schakelen
sudo mdatp config behavior-monitoring --value disabled
Zie resources voor Microsoft Defender voor Eindpunt in macOS voor meer informatie.
Detectie van gedragscontrole (preventie/blokkeren) testen
Zie Gedragscontroledemonstratie.
Detecties voor gedragscontrole controleren
De bestaande Microsoft Defender voor Eindpunt op de opdrachtregelinterface van macOS kan worden gebruikt om details en artefacten van gedragscontrole te bekijken.
sudo mdatp threat list
Veelgestelde vragen (FAQ)
Wat gebeurt er als ik een toename in cpu- of geheugengebruik zie?
Schakel gedragscontrole uit en kijk of het probleem verdwijnt.
- Als het probleem niet verdwijnt, heeft het geen betrekking op gedragscontrole.
- Als het probleem verdwijnt, downloadt u de XMDE Client Analyzer en neemt u contact op met Microsoft-ondersteuning.
Netwerkcontrole in realtime voor macOS
Belangrijk
Sommige informatie heeft betrekking op vooraf uitgebrachte producten die aanzienlijk kunnen worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
De functie netwerk realtime-inspectie (NRI) voor macOS verbetert realtime-beveiliging (RTP) door gebruik te maken van gedragscontrole in combinatie met bestanden, processen en andere gebeurtenissen om verdachte activiteiten te detecteren. Gedragscontrole activeert zowel telemetrie- als voorbeeldinzendingen voor verdachte bestanden die Microsoft kan analyseren vanuit de back-end van cloudbeveiliging en wordt geleverd aan het clientapparaat, waardoor de bedreiging wordt verwijderd.
Heeft dit invloed op de prestaties?
NRI moet een lage invloed hebben op de netwerkprestaties. In plaats van de verbinding vast te houden en te blokkeren, maakt NRI een kopie van het pakket wanneer het het netwerk passeert en voert NRI een asynchrone inspectie uit.
Opmerking
Wanneer netwerk realtime inspectie (NRI) voor macOS is ingeschakeld, ziet u mogelijk een lichte toename van het geheugengebruik.
Vereisten voor NRI voor macOS
- Het apparaat moet worden onboardd naar Microsoft Defender voor Eindpunt.
- Preview-functies moeten zijn ingeschakeld in de Microsoft Defender portal.
- Het apparaat moet zich in het bètakanaal bevinden (voorheen
InsiderFast). - Het minimale versienummer voor Het versienummer van Defender voor Eindpunt moet Bèta (Insiders-Fast): 101.24092.0004 of hoger zijn. Het versienummer verwijst naar de
app version(ook wel platformupdate genoemd). - Realtime-beveiliging moet zijn ingeschakeld.
- Gedragscontrole moet zijn ingeschakeld.
- Cloudbeveiliging moet zijn ingeschakeld.
- Het apparaat moet expliciet worden ingeschreven in de preview- versie.
Implementatie-instructies voor NRI voor macOS
E-mail ons op
NRIonMacOS@microsoft.commet informatie over uw Microsoft Defender voor Eindpunt OrgID waar u netwerk realtime inspectie (NRI) voor macOS wilt hebben ingeschakeld.Belangrijk
Als u NRI voor macOS wilt evalueren, verzendt u een e-mail naar
NRIonMacOS@microsoft.com. Voeg uw Organisatie-id van Defender voor Eindpunt toe. We schakelen deze functie per aanvraag in voor elke tenant.Schakel gedragscontrole in als dit nog niet is ingeschakeld:
sudo mdatp config behavior-monitoring --value enabledNetwerkbeveiliging inschakelen in de blokmodus:
sudo mdatp config network-protection enforcement-level --value blockNetwerk realtime inspectie (NRI) inschakelen:
sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"Opmerking
Terwijl deze functie in preview is en omdat de instelling is ingesteld met behulp van de opdrachtregel, blijft netwerk realtime inspectie (NRI) niet bestaan na opnieuw opstarten. U moet deze opnieuw inschakelen.