Monitorowanie zachowania w programie antywirusowym Microsoft Defender w systemie macOS

Dotyczy:

• Microsoft Defender dla XDR
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Microsoft Defender dla Firm
• Microsoft Defender dla użytkowników indywidualnych
• Program antywirusowy Microsoft Defender
• Obsługiwane wersje systemu macOS

Ważna

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Omówienie monitorowania zachowania

Monitorowanie zachowania monitoruje zachowanie procesu w celu wykrywania i analizowania potencjalnych zagrożeń na podstawie zachowania aplikacji, demonów i plików w systemie. Ponieważ monitorowanie zachowania obserwuje zachowanie oprogramowania w czasie rzeczywistym, może szybko dostosowywać się do nowych i zmieniających się zagrożeń oraz blokować je.

Wymagania wstępne

• Urządzenie musi zostać dołączone do Ochrona punktu końcowego w usłudze Microsoft Defender.
• Funkcje w wersji zapoznawczej muszą być włączone w portalu Microsoft Defender.
• Urządzenie musi znajdować się w kanale beta (dawniej InsiderFast).
• Minimalny numer wersji Ochrona punktu końcowego w usłudze Microsoft Defender musi być beta (Insiders-Fast): 101.24042.0002 lub nowszy. Numer wersji odwołuje się do elementu (znanego app_version również jako aktualizacja platformy).
• Ochrona w czasie rzeczywistym (RTP) musi być włączona.
• Ochrona dostarczana przez chmurę musi być włączona.
• Urządzenie musi być jawnie zarejestrowane w programie w wersji zapoznawczej.

Instrukcje wdrażania dotyczące monitorowania zachowania

Aby wdrożyć monitorowanie zachowania w Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS, należy zmienić zasady monitorowania zachowania przy użyciu jednej z następujących metod:

• Intune
• JamF lub inne urządzenia MDM innych firm niż Microsoft
• Ręcznie

W poniższych sekcjach opisano szczegółowo każdą z tych metod.

wdrożenie Intune

1. Skopiuj następujący kod XML, aby utworzyć plik plist i zapisać go jako BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Otwórzprofile konfiguracjiurządzeń>.

3. Wybierz pozycję Utwórz profil i wybierz pozycję Nowe zasady.

4. Nadaj profilowi nazwę. Zmień wartość Platform=macOS na Typ profilu=Szablony i wybierz pozycję Niestandardowe w sekcji nazwa szablonu. Wybierz pozycję Konfiguruj.

5. Przejdź do zapisanego wcześniej pliku plist i zapisz go jako com.microsoft.wdav.xml.

6. Wprowadź com.microsoft.wdav jako niestandardową nazwę profilu konfiguracji.

7. Otwórz profil konfiguracji i przekaż com.microsoft.wdav.xml plik, a następnie wybierz przycisk OK.

8. Wybierz pozycję Zarządzaj>przydziałami. Na karcie Dołączanie wybierz pozycję Przypisz do wszystkich użytkowników & wszystkie urządzenia lub grupę urządzeń lub grupę użytkowników.

Wdrażanie narzędzia JamF

1. Skopiuj następujący kod XML, aby utworzyć plik plist i zapisać go jako zapisz jako BehaviorMonitoring_for_MDE_on_macOS.plist

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. Wobszarze Profile konfiguracjikomputerów> wybierz pozycję Opcje Aplikacje>& ustawienia niestandardowe,

3. Wybierz pozycję Przekaż plik (plik plist ).

4. Ustaw domenę preferencji na com.microsoft.wdav

5. Przekaż zapisany wcześniej plik plist.

Aby uzyskać więcej informacji, zobacz Ustawianie preferencji dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.

Wdrażanie ręczne

Monitorowanie zachowania na Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS można włączyć, uruchamiając następujące polecenie z poziomu terminalu:

sudo mdatp config behavior-monitoring --value enabled

Aby wyłączyć:

sudo mdatp config behavior-monitoring --value disabled

Aby uzyskać więcej informacji, zobacz: Zasoby dla Ochrona punktu końcowego w usłudze Microsoft Defender w systemie macOS.

Aby przetestować monitorowanie zachowania (zapobieganie/blokowanie) wykrywania

Zobacz Pokaz monitorowania zachowania.

Weryfikowanie wykrywania monitorowania zachowania

Istniejący Ochrona punktu końcowego w usłudze Microsoft Defender w interfejsie wiersza polecenia systemu macOS może służyć do przeglądania szczegółów monitorowania zachowania i artefaktów.

sudo mdatp threat list

Często zadawane pytania

Co zrobić, jeśli widzę wzrost wykorzystania procesora CPU lub wykorzystania pamięci?

Wyłącz monitorowanie zachowania i sprawdź, czy problem ulegnie awarii.

• Jeśli problem nie zniknie, nie jest związany z monitorowaniem zachowania.
• Jeśli problem ulegnie awarii, pobierz analizator klienta XMDE, a następnie skontaktuj się z pomocą techniczną firmy Microsoft.

Inspekcja sieci w czasie rzeczywistym dla systemu macOS

Ważna

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Inspekcja sieci w czasie rzeczywistym (NRI) dla funkcji systemu macOS zwiększa ochronę w czasie rzeczywistym (RTP) przy użyciu monitorowania zachowania w porozumieniu z plikami, procesami i innymi zdarzeniami w celu wykrywania podejrzanych działań. Monitorowanie zachowania wyzwala dane telemetryczne i przykładowe przesyłanie podejrzanych plików, które firma Microsoft analizuje z zaplecza ochrony w chmurze i jest dostarczana do urządzenia klienckiego, co powoduje usunięcie zagrożenia.

Czy ma to wpływ na wydajność?

NrI powinien mieć niski wpływ na wydajność sieci. Zamiast trzymać połączenie i blokować, nri tworzy kopię pakietu podczas jego przekraczania przez sieć, a nri wykonuje inspekcję asynchroniczną.

Uwaga

Po włączeniu inspekcji sieci w czasie rzeczywistym dla systemu macOS może wystąpić niewielki wzrost wykorzystania pamięci.

Wymagania dotyczące interfejsu NRI dla systemu macOS

• Urządzenie musi zostać dołączone do Ochrona punktu końcowego w usłudze Microsoft Defender.
• Funkcje w wersji zapoznawczej muszą być włączone w portalu Microsoft Defender.
• Urządzenie musi znajdować się w kanale beta (dawniej InsiderFast).
• Minimalny numer wersji usługi Defender dla punktu końcowego musi mieć wartość Beta (Insiders-Fast): 101.24092.0004 lub nowszy. Numer wersji odwołuje się do elementu (znanego app version również jako aktualizacja platformy).
• Ochrona w czasie rzeczywistym musi być włączona.
• Monitorowanie zachowania musi być włączone.
• Ochrona dostarczana przez chmurę musi być włączona.
• Urządzenie musi być jawnie zarejestrowane w wersji zapoznawczej.

Instrukcje wdrażania dla nri dla systemu macOS

1. Wyślij do nas NRIonMacOS@microsoft.com wiadomość e-mail z informacjami o identyfikatorze organizacji Ochrona punktu końcowego w usłudze Microsoft Defender, gdzie chcesz mieć włączoną inspekcję sieci w czasie rzeczywistym (NRI) dla systemu macOS.

   Ważna

   Aby ocenić numer NRI dla systemu macOS, wyślij wiadomość e-mail na adres NRIonMacOS@microsoft.com. Uwzględnij swój identyfikator organizacji usługi Defender for Endpoint. Włączamy tę funkcję na podstawie poszczególnych żądań dla każdej dzierżawy.

2. Włącz monitorowanie zachowania, jeśli nie jest jeszcze włączone:

   
   sudo mdatp config behavior-monitoring --value enabled
   
   

3. Włącz ochronę sieci w trybie bloku:

   
   sudo mdatp config network-protection enforcement-level --value block
   
   

4. Włącz inspekcję sieci w czasie rzeczywistym (NRI):

   
   sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"
   
   
   

   Uwaga

   Chociaż ta funkcja jest dostępna w wersji zapoznawczej i ustawienie jest ustawiane przy użyciu wiersza polecenia, inspekcja sieci w czasie rzeczywistym (NRI) nie jest utrwalana po ponownym uruchomieniu. Należy go ponownie włączyć.