Мониторинг поведения в антивирусной Microsoft Defender в macOS

Область применения:

• Microsoft Defender для XDR
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для бизнеса
• Microsoft Defender для физических лиц
• Антивирусная программа в Microsoft Defender
• Поддерживаемые версии macOS

Важно!

Некоторые сведения относятся к предварительно выпущенным продуктам, которые могут быть существенно изменены до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Обзор мониторинга поведения

Мониторинг поведения отслеживает поведение процесса для обнаружения и анализа потенциальных угроз на основе поведения приложений, управляющих программ и файлов в системе. Поскольку мониторинг поведения отслеживает поведение программного обеспечения в режиме реального времени, оно может быстро адаптироваться к новым и развивающимся угрозам и блокировать их.

Предварительные условия

• Устройство должно быть подключено к Microsoft Defender для конечной точки.
• Предварительные версии функций должны быть включены на портале Microsoft Defender.
• Устройство должно находиться в канале бета-версии (ранее InsiderFast).
• Минимальный номер версии Microsoft Defender для конечной точки должен быть бета-версии (Insiders-Fast): 101.24042.0002 или более поздней версии. Номер версии относится к app_version (также известному как обновление платформы).
• Должна быть включена защита в режиме реального времени (RTP).
• Необходимо включить облачную защиту.
• Устройство должно быть явно зарегистрировано в программе предварительной версии.

Инструкции по развертыванию для мониторинга поведения

Чтобы развернуть мониторинг поведения в Microsoft Defender для конечной точки в macOS, необходимо изменить политику мониторинга поведения, используя один из следующих методов:

• Intune
• JamF или другие mdm, отличные от Майкрософт
• Вручную

В следующих разделах подробно описан каждый из этих методов.

развертывание Intune

1. Скопируйте следующий XML-файл, чтобы создать PLIST-файл и сохранить его как BehaviorMonitoring_for_MDE_on_macOS.mobileconfig.

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Откройтепрофили конфигурацииустройств>.

3. Щелкните Создать профиль и выберите Создать политику.

4. Присвойте профилю имя. Измените Platform=macOS на Тип профиля=Шаблоны и выберите Настраиваемый в разделе имя шаблона. Нажмите Настроить.

5. Перейдите в файл plist, сохраненный ранее, и сохраните его как com.microsoft.wdav.xml.

6. Введите com.microsoft.wdavв качестве имени пользовательского профиля конфигурации.

7. Откройте профиль конфигурации, отправьте com.microsoft.wdav.xml файл и нажмите кнопку ОК.

8. Выберите Управление>назначениями. На вкладке Включить выберите Назначить всем пользователям & все устройства или группу устройств или группу пользователей.

Развертывание JamF

1. Скопируйте следующий XML-код, чтобы создать PLIST-файл и сохранить его как сохранить как BehaviorMonitoring_for_MDE_on_macOS.plist

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. Вразделе Профили конфигурациикомпьютеров> выберите Параметры>Приложения & Пользовательские параметры.

3. Выберите Отправить файл (PLIST-файл ).

4. Задайте для предпочтительного домена значение com.microsoft.wdav.

5. Отправьте файл plist, сохраненный ранее.

Дополнительные сведения см. в статье Настройка параметров для Microsoft Defender для конечной точки в macOS.

Ручное развертывание

Вы можете включить мониторинг поведения на Microsoft Defender для конечной точки в macOS, выполнив следующую команду в терминале:

sudo mdatp config behavior-monitoring --value enabled

Чтобы отключить, выполните приведенные далее действия.

sudo mdatp config behavior-monitoring --value disabled

Дополнительные сведения см. в статье Ресурсы для Microsoft Defender для конечной точки в macOS.

Проверка мониторинга поведения (предотвращение или блокировка) обнаружения

См. демонстрацию мониторинга поведения.

Проверка обнаружения мониторинга поведения

Существующие Microsoft Defender для конечной точки в интерфейсе командной строки macOS можно использовать для просмотра сведений о мониторинге поведения и артефактов.

sudo mdatp threat list

Часто задаваемые вопросы

Что делать, если я вижу увеличение загрузки ЦП или памяти?

Отключите мониторинг поведения и посмотрите, устранена ли проблема.

• Если проблема не устранена, она не связана с мониторингом поведения.
• Если проблема исчезнет, скачайте анализатор клиента XMDE и обратитесь в службу поддержки Майкрософт.

Проверка сети в режиме реального времени для macOS

Важно!

Некоторые сведения относятся к предварительно выпущенным продуктам, которые могут быть существенно изменены до его коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Функция проверки сети в режиме реального времени (NRI) для macOS улучшает защиту в реальном времени (RTP), используя мониторинг поведения в согласовании с файлами, процессами и другими событиями для обнаружения подозрительных действий. Мониторинг поведения активирует данные телеметрии и отправки примеров подозрительных файлов, которые корпорация Майкрософт анализирует из серверной части облачной защиты, и доставляется на клиентское устройство, что приводит к удалению угрозы.

Влияет ли это на производительность?

NRI должен иметь низкое влияние на производительность сети. Вместо того, чтобы удерживать подключение и блокировать, NRI создает копию пакета, когда он пересекает сеть, а NRI выполняет асинхронную проверку.

Примечание.

Если включена проверка сети в режиме реального времени (NRI) для macOS, может наблюдаться небольшое увеличение использования памяти.

Требования к NRI для macOS

• Устройство должно быть подключено к Microsoft Defender для конечной точки.
• Предварительные версии функций необходимо включить на портале Microsoft Defender.
• Устройство должно находиться в канале бета-версии (ранее InsiderFast).
• Минимальный номер версии Defender для конечной точки должен быть бета-версии (insiders-Fast): 101.24092.0004 или более поздней версии. Номер версии относится к app version (также известному как обновление платформы).
• Необходимо включить защиту в режиме реального времени.
• Необходимо включить мониторинг поведения.
• Необходимо включить облачную защиту.
• Устройство должно быть явно зарегистрировано в предварительной версии.

Инструкции по развертыванию NRI для macOS

1. Напишите нам по адресу NRIonMacOS@microsoft.com с информацией о вашем Microsoft Defender для конечной точки OrgID, где вы хотите включить проверку сети в режиме реального времени (NRI) для macOS.

   Важно!

   Чтобы оценить NRI для macOS, отправьте сообщение электронной почты по адресу NRIonMacOS@microsoft.com. Включите идентификатор организации Defender для конечной точки. Мы включаем эту функцию для каждого клиента по запросу.

2. Включите мониторинг поведения, если он еще не включен:

   
   sudo mdatp config behavior-monitoring --value enabled
   
   

3. Включите защиту сети в блочном режиме:

   
   sudo mdatp config network-protection enforcement-level --value block
   
   

4. Включение проверки сети в режиме реального времени (NRI):

   
   sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"
   
   
   

   Примечание.

   Пока эта функция находится в предварительной версии, а параметр задается с помощью командной строки, проверка сети в режиме реального времени (NRI) не сохраняется после перезагрузки. Его необходимо снова включить.