Monitorização de comportamento no Antivírus do Microsoft Defender no macOS

Aplica-se a:

• Microsoft Defender para XDR
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender para Empresas
• Microsoft Defender para Indivíduos
• Microsoft Defender Antivírus
• Versões suportadas do macOS

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Pré-requisitos

• O dispositivo está integrado no Microsoft Defender para Endpoint.
• As funcionalidades de pré-visualização estão ativadas no portal do Microsoft XDR (https://security.microsoft.com).
• O dispositivo tem de estar no canal Beta (anteriormente InsiderFast).
• O número mínimo da versão do Microsoft Defender para Endpoint tem de ser Beta (Insiders-Fast): 101.24042.0002 ou mais recente. O número da versão refere-se ao app_version (também conhecido como Atualização da plataforma).
• Certifique-se de que o Real-Time Protection (RTP) está ativado.
• Certifique-se de que a proteção fornecida pela cloud está ativada.
• O dispositivo tem de estar explicitamente inscrito na pré-visualização.

Visão Geral

A monitorização de comportamento monitoriza o comportamento do processo para detetar e analisar potenciais ameaças com base no comportamento das aplicações, daemons e ficheiros no sistema. À medida que a monitorização de comportamento observa o comportamento do software em tempo real, pode adaptar-se rapidamente a ameaças novas e em evolução e bloqueá-las.

Instruções de implementação

Para implementar a monitorização de comportamento no Microsoft Defender para Endpoint no macOS, tem de alterar a política de monitorização de comportamento através de um dos seguintes métodos:

• Intune
• JamF ou outra MDM^{de terceiros}
• Manualmente

As secções seguintes descrevem cada um destes métodos em detalhe.

Implementação do Intune

1. Copie o XML seguinte para criar um ficheiro .plist e guarde-o como BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Abraperfis de Configuração de Dispositivos>.

3. Selecione Criar perfil e selecione Nova Política.

4. Dê um nome ao perfil. Altere Platform=macOS para Profile type=Templates e selecione Personalizar na secção nome do modelo. Selecione Configurar.

5. Aceda ao ficheiro plist que guardou anteriormente e guarde-o como com.microsoft.wdav.xml.

6. Introduza com.microsoft.wdav como o nome do perfil de configuração personalizada.

7. Abra o perfil de configuração, carregue o com.microsoft.wdav.xml ficheiro e selecione OK.

8. Selecione Gerir>Atribuições. No separador Incluir , selecione Atribuir a Todos os Utilizadores & Todos os dispositivos ou a um Grupo de Dispositivos ou Grupo de Utilizadores.

Através da implementação do JamF

1. Copie o XML seguinte para criar um ficheiro .plist e guarde-o como Guardar como BehaviorMonitoring_for_MDE_on_macOS.plist

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. EmPerfis de Configuração deComputadores>, selecione Opções>Aplicações & Definições Personalizadas,

3. Selecione Carregar Ficheiro (ficheiro .plist ).

4. Definir o domínio de preferência como com.microsoft.wdav

5. Carregue o ficheiro plist guardado anteriormente.

Para obter mais informações, consulte: Definir preferências do Microsoft Defender para Endpoint no macOS.

Implantação manual

Pode ativar a Monitorização de Comportamento no Microsoft Defender para Endpoint no macOS ao executar o seguinte comando a partir do Terminal:

sudo mdatp config behavior-monitoring --value enabled

Para desativar:

sudo mdatp config behavior-monitoring --value disabled

Para obter mais informações, consulte: Recursos do Microsoft Defender para Endpoint no macOS.

Para testar a deteção de monitorização de comportamento (prevenção/bloqueio)

Veja Demonstração de Monitorização de Comportamento.

Verificar a deteção de Monitorização de Comportamento

A interface de linha de comandos do Microsoft Defender para Endpoint existente no macOS pode ser utilizada para rever detalhes e artefactos de monitorização de comportamento.

sudo mdatp threat list

Perguntas Mais Frequentes (FAQ)

E se vir um aumento na utilização da cpu ou na utilização da memória?

Desative a Monitorização de Comportamento e veja se o problema desaparece.

• Se o problema não desaparecer, não está relacionado com a Monitorização de Comportamento.
• Se o problema desaparecer, utilize uma aka.ms/xMDEClientAnalyzer e contacte o suporte da Microsoft.