Partilhar via


Monitorização de comportamento no Antivírus do Microsoft Defender no macOS

Aplica-se a:

Importante

Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.

Pré-requisitos

  • O dispositivo está integrado no Microsoft Defender para Endpoint.
  • As funcionalidades de pré-visualização estão ativadas no portal do Microsoft XDR (https://security.microsoft.com).
  • O dispositivo tem de estar no canal Beta (anteriormente InsiderFast).
  • O número mínimo da versão do Microsoft Defender para Endpoint tem de ser Beta (Insiders-Fast): 101.24042.0002 ou mais recente. O número da versão refere-se ao app_version (também conhecido como Atualização da plataforma).
  • Certifique-se de que o Real-Time Protection (RTP) está ativado.
  • Certifique-se de que a proteção fornecida pela cloud está ativada.
  • O dispositivo tem de estar explicitamente inscrito na pré-visualização.

Descrição geral

A monitorização de comportamento monitoriza o comportamento do processo para detetar e analisar potenciais ameaças com base no comportamento das aplicações, daemons e ficheiros no sistema. À medida que a monitorização de comportamento observa o comportamento do software em tempo real, pode adaptar-se rapidamente a ameaças novas e em evolução e bloqueá-las.

Instruções de implementação

Para implementar a monitorização de comportamento no Microsoft Defender para Endpoint no macOS, tem de alterar a política de monitorização de comportamento através de um dos seguintes métodos:

As secções seguintes descrevem cada um destes métodos em detalhe.

Implementação do Intune

  1. Copie o XML seguinte para criar um ficheiro .plist e guarde-o como BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
        <dict>
            <key>PayloadUUID</key>
            <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
            <key>PayloadType</key>
            <string>Configuration</string>
            <key>PayloadOrganization</key>
            <string>Microsoft</string>
            <key>PayloadIdentifier</key>
            <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
            <key>PayloadDisplayName</key>
            <string>Microsoft Defender for Endpoint settings</string>
            <key>PayloadDescription</key>
            <string>Microsoft Defender for Endpoint configuration settings</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>PayloadEnabled</key>
            <true/>
            <key>PayloadRemovalDisallowed</key>
            <true/>
            <key>PayloadScope</key>
            <string>System</string>
            <key>PayloadContent</key>
            <array>
                <dict>
                    <key>PayloadUUID</key>
                    <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                    <key>PayloadType</key>
                    <string>com.microsoft.wdav</string>
                    <key>PayloadOrganization</key>
                    <string>Microsoft</string>
                    <key>PayloadIdentifier</key>
                    <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                    <key>PayloadDisplayName</key>
                    <string>Microsoft Defender for Endpoint configuration settings</string>
                    <key>PayloadDescription</key>
                    <string/>
                    <key>PayloadVersion</key>
                    <integer>1</integer>
                    <key>PayloadEnabled</key>
                    <true/>
                    <key>antivirusEngine</key>
                    <dict>
                    <key>behaviorMonitoring</key>
                    <string>enabled</string>
                    </dict>
                    <key>features</key>
                    <dict>
                    <key>behaviorMonitoring</key>
                    <string>enabled</string>
                    <key>behaviorMonitoringConfigurations</key>
                    <dict>
                    <key>blockExecution</key>
                    <string>enabled</string>
                    <key>notifyForks</key>
                    <string>enabled</string>
                    <key>forwardRtpToBm</key>
                    <string>enabled</string>
                    <key>avoidOpenCache</key>
                    <string>enabled</string>
                                     </dict>
                        </dict>
                </dict>
            </array>
        </dict>
    </plist>
    
  2. Abraperfis de Configuração de Dispositivos>.

  3. Selecione Criar perfil e selecione Nova Política.

  4. Dê um nome ao perfil. Altere Platform=macOS para Profile type=Templates e selecione Personalizar na secção nome do modelo. Selecione Configurar.

  5. Aceda ao ficheiro plist que guardou anteriormente e guarde-o como com.microsoft.wdav.xml.

  6. Introduza com.microsoft.wdav como o nome do perfil de configuração personalizada.

  7. Abra o perfil de configuração, carregue o com.microsoft.wdav.xml ficheiro e selecione OK.

  8. Selecione Gerir>Atribuições. No separador Incluir , selecione Atribuir a Todos os Utilizadores & Todos os dispositivos ou a um Grupo de Dispositivos ou Grupo de Utilizadores.

Através da implementação do JamF

  1. Copie o XML seguinte para criar um ficheiro .plist e guarde-o como Guardar como BehaviorMonitoring_for_MDE_on_macOS.plist

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
        <dict>
            <key>antivirusEngine</key>
                <dict>
                    <key>behaviorMonitoring</key>
                    <string>enabled</string>
                </dict>
                    <key>features</key>
                         <dict>
                             <key>behaviorMonitoring</key>
                             <string>enabled</string>
                             <key>behaviorMonitoringConfigurations</key>
                                 <dict>
                                     <key>blockExecution</key>
                                     <string>enabled</string>
                                     <key>notifyForks</key>
                                     <string>enabled</string>
                                     <key>forwardRtpToBm</key>
                                     <string>enabled</string>
                                     <key>avoidOpenCache</key>
                                     <string>enabled</string>
                                 </dict>
                         </dict>
        </dict>
    </plist>
    
  2. EmPerfis de Configuração deComputadores>, selecione Opções>Aplicações & Definições Personalizadas,

  3. Selecione Carregar Ficheiro (ficheiro .plist ).

  4. Definir o domínio de preferência como com.microsoft.wdav

  5. Carregue o ficheiro plist guardado anteriormente.

Para obter mais informações, consulte: Definir preferências do Microsoft Defender para Endpoint no macOS.

Implementação manual

Pode ativar a Monitorização de Comportamento no Microsoft Defender para Endpoint no macOS ao executar o seguinte comando a partir do Terminal:

sudo mdatp config behavior-monitoring --value enabled

Para desativar:

sudo mdatp config behavior-monitoring --value disabled

Para obter mais informações, consulte: Recursos do Microsoft Defender para Endpoint no macOS.

Para testar a deteção de monitorização de comportamento (prevenção/bloqueio)

Veja Demonstração de Monitorização de Comportamento.

Verificar a deteção de Monitorização de Comportamento

A interface de linha de comandos do Microsoft Defender para Endpoint existente no macOS pode ser utilizada para rever detalhes e artefactos de monitorização de comportamento.

sudo mdatp threat list

Perguntas Mais Frequentes (FAQ)

E se vir um aumento na utilização da cpu ou na utilização da memória?

Desative a Monitorização de Comportamento e veja se o problema desaparece.

  • Se o problema não desaparecer, não está relacionado com a Monitorização de Comportamento.
  • Se o problema desaparecer, utilize uma aka.ms/xMDEClientAnalyzer e contacte o suporte da Microsoft.