Beteendeövervakning i Microsoft Defender Antivirus på macOS

Gäller för:

• Microsoft Defender för XDR
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för företag
• Microsoft Defender för enskilda användare
• Microsoft Defender Antivirus
• Versioner av macOS som stöds

Viktigt

Viss information gäller försläppt produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Översikt över beteendeövervakning

Beteendeövervakning övervakar processbeteendet för att identifiera och analysera potentiella hot baserat på beteendet för program, daemoner och filer i systemet. När beteendeövervakning observerar hur programvaran beter sig i realtid kan den snabbt anpassas till nya och växande hot och blockera dem.

Förhandskrav

• Enheten måste vara registrerad för att Microsoft Defender för Endpoint.
• Förhandsgranskningsfunktioner måste vara aktiverade i Microsoft Defender-portalen.
• Enheten måste finnas i betakanalen (tidigare InsiderFast).
• Det minsta Microsoft Defender för Endpoint versionsnumret måste vara Beta (Insiders-Fast): 101.24042.0002 eller senare. Versionsnumret refererar till app_version (kallas även plattformsuppdatering).
• Realtidsskydd (RTP) måste vara aktiverat.
• Molnlevererat skydd måste vara aktiverat.
• Enheten måste uttryckligen registreras i förhandsgranskningsprogrammet.

Distributionsinstruktioner för beteendeövervakning

Om du vill distribuera beteendeövervakning i Microsoft Defender för Endpoint på macOS måste du ändra beteendeövervakningsprincipen med någon av följande metoder:

• Intune
• JamF eller annan MDM som inte kommer från Microsoft
• Manuellt

I följande avsnitt beskrivs var och en av dessa metoder i detalj.

Intune distribution

1. Kopiera följande XML för att skapa en .plist-fil och spara den som BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Öppna Enhetskonfigurationsprofiler>.

3. Välj Skapa profil och välj Ny princip.

4. Ge profilen ett namn. Ändra Platform=macOS till Profiltyp=Mallar och välj Anpassad i avsnittet med mallnamn. Välj Konfigurera.

5. Gå till plist-filen som du sparade tidigare och spara den som com.microsoft.wdav.xml.

6. Ange com.microsoft.wdav som namn på den anpassade konfigurationsprofilen.

7. Öppna konfigurationsprofilen och ladda upp com.microsoft.wdav.xml filen och välj OK.

8. Välj Hantera>tilldelningar. På fliken Inkludera väljer du Tilldela till alla användare & Alla enheter eller till en enhetsgrupp eller användargrupp.

JamF-distribution

1. Kopiera följande XML för att skapa en .plist-fil och spara den som Spara som BehaviorMonitoring_for_MDE_on_macOS.plist

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. IKonfigurationsprofiler för datorer> väljer du Alternativ>Program & anpassade inställningar,

3. Välj Ladda upp fil (.plist-fil ).

4. Ange inställningsdomänen till com.microsoft.wdav

5. Ladda upp plist-filen som sparades tidigare.

Mer information finns i: Ange inställningar för Microsoft Defender för Endpoint på macOS.

Manuell distribution

Du kan aktivera beteendeövervakning på Microsoft Defender för Endpoint på macOS genom att köra följande kommando från terminalen:

sudo mdatp config behavior-monitoring --value enabled

Inaktivera:

sudo mdatp config behavior-monitoring --value disabled

Mer information finns i: Resurser för Microsoft Defender för Endpoint på macOS.

Testa identifiering av beteendeövervakning (skydd/blockering)

Se Demonstration av beteendeövervakning.

Verifiera identifiering av beteendeövervakning

Den befintliga Microsoft Defender för Endpoint i macOS-kommandoradsgränssnittet kan användas för att granska information om beteendeövervakning och artefakter.

sudo mdatp threat list

Vanliga frågor och svar

Vad händer om jag ser en ökning av processoranvändningen eller minnesanvändningen?

Inaktivera beteendeövervakning och se om problemet försvinner.

• Om problemet inte försvinner är det inte relaterat till beteendeövervakning.
• Om problemet försvinner laddar du ned XMDE-klientanalysen och kontaktar sedan Microsofts support.

Kontroll i realtid av nätverk för macOS

Viktigt

Viss information gäller försläppt produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Nätverksgranskning i realtid (NRI) för macOS-funktionen förbättrar realtidsskyddet (RTP) med hjälp av beteendeövervakning i samarbete med filer, processer och andra händelser för att identifiera misstänkt aktivitet. Beteendeövervakning utlöser både telemetri- och exempelinlämningar på misstänkta filer som Microsoft kan analysera från molnskyddsserverdelen och levereras till klientenheten, vilket resulterar i att hotet tas bort.

Påverkar prestandan?

NRI bör ha låg inverkan på nätverksprestanda. I stället för att hålla anslutningen och blockera, gör NRI en kopia av paketet när det korsar nätverket och NRI utför en asynkron inspektion.

Obs!

När nätverksgranskning i realtid (NRI) för macOS är aktiverat kan minnesanvändningen öka något.

Krav för NRI för macOS

• Enheten måste vara registrerad för att Microsoft Defender för Endpoint.
• Förhandsgranskningsfunktioner måste vara aktiverade i Microsoft Defender-portalen.
• Enheten måste finnas i betakanalen (tidigare InsiderFast).
• Det lägsta versionsnumret för Versionsnumret för Defender för Endpoint måste vara Beta (Insiders-Fast): 101.24092.0004 eller senare. Versionsnumret refererar till app version (kallas även plattformsuppdatering).
• Realtidsskydd måste vara aktiverat.
• Beteendeövervakning måste vara aktiverat.
• Molnlevererat skydd måste vara aktiverat.
• Enheten måste uttryckligen registreras i förhandsversionen.

Distributionsinstruktioner för NRI för macOS

1. Skicka ett e-postmeddelande till oss på NRIonMacOS@microsoft.com med information om din Microsoft Defender för Endpoint OrgID där du vill ha nätverksgranskning i realtid (NRI) för macOS aktiverat.

   Viktigt

   För att utvärdera NRI för macOS skickar du e-post till NRIonMacOS@microsoft.com. Inkludera ditt Organisations-ID för Defender för Endpoint. Vi aktiverar den här funktionen per begäran för varje klientorganisation.

2. Aktivera beteendeövervakning om den inte redan är aktiverad:

   
   sudo mdatp config behavior-monitoring --value enabled
   
   

3. Aktivera nätverksskydd i blockeringsläge:

   
   sudo mdatp config network-protection enforcement-level --value block
   
   

4. Aktivera nätverksgranskning i realtid (NRI):

   
   sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"
   
   
   

   Obs!

   Även om den här funktionen är i förhandsversion, och eftersom inställningen anges med hjälp av kommandoraden, bevaras inte nri (network real-time inspection) efter omstarter. Du måste återaktivera den.