macOS 上的 Microsoft Defender 防病毒中的行为监视
适用于:
- XDR 的Microsoft Defender
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender 商业版
- 个人Microsoft Defender
- Microsoft Defender 防病毒
- 支持的 macOS 版本
重要
某些信息与预发布产品有关,在商业发布之前,这些预发布产品可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
行为监视概述
行为监视监视进程行为,以基于系统内应用程序、守护程序和文件的行为检测和分析潜在威胁。 当行为监视实时观察软件的行为方式时,它可以快速适应新的和不断演变的威胁并阻止它们。
先决条件
- 设备必须载入到Microsoft Defender for Endpoint。
- 必须在Microsoft Defender门户中启用预览功能。
- 设备必须位于以前
InsiderFast) (Beta 通道中。 - 最低Microsoft Defender for Endpoint版本号必须为 Beta (Insiders-Fast) :101.24042.0002 或更高版本。 版本号是指
app_version(也称为 平台更新) 。 - 必须启用实时保护 (RTP) 。
- 必须启用云提供的保护。
- 必须在预览计划中显式注册设备。
行为监视的部署说明
若要在 macOS 上的 Microsoft Defender for Endpoint 中部署行为监视,必须使用下列方法之一更改行为监视策略:
以下各节详细介绍了其中的每种方法。
Intune部署
复制以下 XML 以创建 .plist 文件,并将其另存为 BehaviorMonitoring_for_MDE_on_macOS.mobileconfig
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>打开 “设备>配置文件”。
选择 “创建配置文件 ”,然后选择“ 新建策略”。
为配置文件命名。 将 Platform=macOS 更改为 “配置文件类型=模板” ,然后在模板名称部分选择 “自定义 ”。 选择“配置”。
转到之前保存的 plist 文件,并将其另存为
com.microsoft.wdav.xml。输入
com.microsoft.wdav作为 自定义配置文件名称。打开配置文件并上传文件,
com.microsoft.wdav.xml然后选择“ 确定”。选择“ 管理>分配”。 在“ 包括 ”选项卡中,选择“ 分配给所有用户”&“”所有设备“或”分配给设备组“或”用户组”。
JamF 部署
复制以下 XML 以创建 .plist 文件并将其另存为 BehaviorMonitoring_for_MDE_on_macOS.plist
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>在“计算机>配置文件”中,选择“选项>应用程序 & 自定义设置”
选择“ 上传文件 (.plist 文件) ”。
将首选项域设置为 com.microsoft.wdav
上传之前保存的 plist 文件。
有关详细信息,请参阅:在 macOS 上设置Microsoft Defender for Endpoint的首选项。
手动部署
可以通过从终端运行以下命令,在 macOS 上的 Microsoft Defender for Endpoint 上启用行为监视:
sudo mdatp config behavior-monitoring --value enabled
若要禁用,请:
sudo mdatp config behavior-monitoring --value disabled
有关详细信息,请参阅:macOS 上的Microsoft Defender for Endpoint资源。
测试行为监视 (防护/阻止) 检测
请参阅 行为监视演示。
验证行为监视检测
macOS 命令行界面上的现有Microsoft Defender for Endpoint可用于查看行为监视详细信息和项目。
sudo mdatp threat list
常见问题解答(FAQ)
如果看到 CPU 利用率或内存利用率增加,该怎么办?
禁用行为监视,并查看问题是否消失。
- 如果问题没有消失,则与行为监视无关。
- 如果问题消失,请下载 XMDE 客户端分析器,然后联系Microsoft支持人员。
macOS 的网络实时检查
重要
某些信息与预发布产品有关,在商业发布之前,这些预发布产品可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
适用于 macOS 的网络实时检查 (NRI) 功能通过结合使用 行为监视 和文件、进程和其他事件来检测可疑活动,增强了 RTP) 实时保护 (RTP) 。 行为监视在可疑文件上触发遥测和示例提交,以便Microsoft从云保护后端进行分析,并传送到客户端设备,从而消除威胁。
是否对性能有影响?
NRI 对网络性能的影响应较低。 NRI 在通过网络时创建数据包的副本,而不是保留连接和阻塞,NRI 执行异步检查。
注意
启用适用于 macOS 的网络实时检查 (NRI) 时,内存利用率可能会略有增加。
macOS 的 NRI 要求
- 设备必须载入到Microsoft Defender for Endpoint。
- 必须在Microsoft Defender门户中启用预览功能。
- 设备必须位于以前
InsiderFast) (Beta 通道中。 - Defender for Endpoint 版本号的最低版本号必须为 Beta (Insiders-Fast) : 101.24092.0004 或更高版本。 版本号是指
app version(也称为平台更新) 。 - 必须启用实时保护。
- 必须启用行为监视。
- 必须启用云提供的保护。
- 设备必须显式注册到预览版中。
适用于 macOS 的 NRI 的部署说明
通过电子邮件将有关Microsoft Defender for Endpoint OrgID 的信息发送给我们
NRIonMacOS@microsoft.com,你希望为 macOS 启用网络实时检查 (NRI) 。重要
若要评估 macOS 的 NRI,请将电子邮件发送到
NRIonMacOS@microsoft.com。 包括 Defender for Endpoint 组织 ID。 我们将为每个租户按请求启用此功能。如果尚未启用,请启用行为监视:
sudo mdatp config behavior-monitoring --value enabled在块模式下启用网络保护:
sudo mdatp config network-protection enforcement-level --value block启用网络实时检查 (NRI) :
sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"注意
在公共预览版中,由于设置是通过命令行设置的,因此网络实时检查 (NRI) 不会持续重启。 需要重新启用它。