Monitorização de comportamento no Antivírus do Microsoft Defender no macOS
Aplica-se a:
- Microsoft Defender para XDR
- API do Microsoft Defender para Endpoint 2
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Empresas
- Microsoft Defender para Indivíduos
- Antivírus do Microsoft Defender
- Versões suportadas do macOS
Importante
Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.
Pré-requisitos
- O dispositivo está integrado no Microsoft Defender para Endpoint.
- As funcionalidades de pré-visualização estão ativadas no portal do Microsoft XDR (https://security.microsoft.com).
- O dispositivo tem de estar no canal Beta (anteriormente InsiderFast).
- O número mínimo da versão do Microsoft Defender para Endpoint tem de ser Beta (Insiders-Fast): 101.24042.0002 ou mais recente. O número da versão refere-se ao app_version (também conhecido como Atualização da plataforma).
- Certifique-se de que o Real-Time Protection (RTP) está ativado.
- Certifique-se de que a proteção fornecida pela cloud está ativada.
- O dispositivo tem de estar explicitamente inscrito na pré-visualização.
Descrição geral
A monitorização de comportamento monitoriza o comportamento do processo para detetar e analisar potenciais ameaças com base no comportamento das aplicações, daemons e ficheiros no sistema. À medida que a monitorização de comportamento observa o comportamento do software em tempo real, pode adaptar-se rapidamente a ameaças novas e em evolução e bloqueá-las.
Instruções de implementação
Para implementar a monitorização de comportamento no Microsoft Defender para Endpoint no macOS, tem de alterar a política de monitorização de comportamento através de um dos seguintes métodos:
As secções seguintes descrevem cada um destes métodos em detalhe.
Implementação do Intune
Copie o XML seguinte para criar um ficheiro .plist e guarde-o como BehaviorMonitoring_for_MDE_on_macOS.mobileconfig
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>
Abraperfis de Configuração de Dispositivos>.
Selecione Criar perfil e selecione Nova Política.
Dê um nome ao perfil. Altere Platform=macOS para Profile type=Templates e selecione Personalizar na secção nome do modelo. Selecione Configurar.
Aceda ao ficheiro plist que guardou anteriormente e guarde-o como
com.microsoft.wdav.xml
.Introduza
com.microsoft.wdav
como o nome do perfil de configuração personalizada.Abra o perfil de configuração, carregue o
com.microsoft.wdav.xml
ficheiro e selecione OK.Selecione Gerir>Atribuições. No separador Incluir , selecione Atribuir a Todos os Utilizadores & Todos os dispositivos ou a um Grupo de Dispositivos ou Grupo de Utilizadores.
Através da implementação do JamF
Copie o XML seguinte para criar um ficheiro .plist e guarde-o como Guardar como BehaviorMonitoring_for_MDE_on_macOS.plist
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>
EmPerfis de Configuração deComputadores>, selecione Opções>Aplicações & Definições Personalizadas,
Selecione Carregar Ficheiro (ficheiro .plist ).
Definir o domínio de preferência como com.microsoft.wdav
Carregue o ficheiro plist guardado anteriormente.
Para obter mais informações, consulte: Definir preferências do Microsoft Defender para Endpoint no macOS.
Implementação manual
Pode ativar a Monitorização de Comportamento no Microsoft Defender para Endpoint no macOS ao executar o seguinte comando a partir do Terminal:
sudo mdatp config behavior-monitoring --value enabled
Para desativar:
sudo mdatp config behavior-monitoring --value disabled
Para obter mais informações, consulte: Recursos do Microsoft Defender para Endpoint no macOS.
Para testar a deteção de monitorização de comportamento (prevenção/bloqueio)
Veja Demonstração de Monitorização de Comportamento.
Verificar a deteção de Monitorização de Comportamento
A interface de linha de comandos do Microsoft Defender para Endpoint existente no macOS pode ser utilizada para rever detalhes e artefactos de monitorização de comportamento.
sudo mdatp threat list
Perguntas Mais Frequentes (FAQ)
E se vir um aumento na utilização da cpu ou na utilização da memória?
Desative a Monitorização de Comportamento e veja se o problema desaparece.
- Se o problema não desaparecer, não está relacionado com a Monitorização de Comportamento.
- Se o problema desaparecer, utilize uma aka.ms/xMDEClientAnalyzer e contacte o suporte da Microsoft.