macOS 上 Microsoft Defender 防病毒軟體中的行為監視
適用於:
- XDR 的 Microsoft Defender
- 適用於端點的 Microsoft Defender 方案 2
- 適用於端點的 Microsoft Defender 方案 1
- 適用於企業的 Microsoft Defender
- Microsoft Defender 個人
- Microsoft Defender 防毒軟體
- 支援的 macOS版本
重要事項
某些資訊與發行前產品有關,這些產品可能會在正式發行之前進行大幅修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
行為監視概觀
行為監視會監視程序行為,以根據系統內應用程式、精靈和檔案的行為來偵測和分析潛在威脅。 當行為監視觀察軟體的即時運作方式時,它可以快速適應新的和不斷演進的威脅,並加以封鎖。
必要條件
- 裝置必須上線才能 適用於端點的 Microsoft Defender。
- 您必須在 Microsoft Defender 入口網站中啟用預覽功能。
- 裝置必須位於 Beta 通道 中, (先前
InsiderFast) 。 - 最低 適用於端點的 Microsoft Defender 版本號碼必須是 Beta (Insiders-Fast) :101.24042.0002 或更新版本。 版本號碼是指
app_version(也稱為 平臺更新) 。 - 必須啟用 RTP) (實時保護。
- 必須啟用雲端式保護。
- 裝置必須在預覽計劃中明確註冊。
行為監視的部署指示
若要在macOS上的 適用於端點的 Microsoft Defender 中部署行為監視,您必須使用下列其中一種方法來變更行為監視原則:
下列各節會詳細說明這些方法。
Intune部署
複製下列 XML 以建立 .plist 檔案,並將其儲存為 BehaviorMonitoring_for_MDE_on_macOS.mobileconfig
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>開 啟 [裝置>組態配置檔]。
選 取 [建立配置檔 ],然後選取 [新增原則]。
為設定檔命名。 將 Platform=macOS 變更為 [配置檔類型=範本 ],然後在 [範本名稱] 區段中選擇 [ 自定義 ]。 選 取 [設定]。
移至您稍早儲存的 plist 檔案,並將儲存為
com.microsoft.wdav.xml。輸入
com.microsoft.wdav作為 自定義組態配置檔名稱。開啟組態配置檔並上傳檔案,
com.microsoft.wdav.xml然後選取 [ 確定]。選 取 [管理>指派]。 在 [ 包含] 索引標籤中,選 取 [指派給所有使用者 & 所有裝置或裝置群組或使用者群組] 。
JamF 部署
複製下列 XML 以建立 .plist 檔案,並將它儲存 為另存為 BehaviorMonitoring_for_MDE_on_macOS.plist
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>在 [計算機>組態配置檔] 中,選取 [選項>應用程式 & 自定義設定]
選 取 [上傳檔案 (.plist 檔案) ] 。
將喜好設定網域設定為 com.microsoft.wdav
上傳稍早儲存的 plist 檔案。
如需詳細資訊,請參閱:在macOS上設定 適用於端點的 Microsoft Defender 喜好設定。
手動部署
您可以從終端機執行下列命令,在macOS上的 適用於端點的 Microsoft Defender 上啟用行為監視:
sudo mdatp config behavior-monitoring --value enabled
若要停用:
sudo mdatp config behavior-monitoring --value disabled
如需詳細資訊,請參閱:macOS 上 適用於端點的 Microsoft Defender 的資源。
測試行為監視 (預防/封鎖) 偵測
請參閱 行為監視示範。
驗證行為監視偵測
macOS 命令行介面上現有的 適用於端點的 Microsoft Defender 可用來檢閱行為監視詳細數據和成品。
sudo mdatp threat list
常見問題集 (FAQ)
如果我看到 cpu 使用率或記憶體使用率增加,該怎麼辦?
停用行為監視,並查看問題是否消失。
- 如果問題並未消失,則與行為監視無關。
- 如果問題消失,請下載 XMDE 用戶端分析器,然後連絡Microsoft支援。
macOS 的網路實時檢查
重要事項
某些資訊與發行前產品有關,這些產品可能會在正式發行之前進行大幅修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
macOS 功能的 NRI) 網路即時檢查 (,藉由搭配檔案、程式和其他事件使用 行為監視 來偵測可疑活動,來增強 RTP) 的即時 (保護。 行為監視會觸發可疑檔案的遙測和範例提交,讓Microsoft從雲端保護後端進行分析,並傳遞至用戶端裝置,進而移除威脅。
效能是否有影響?
NRI 對網路效能的影響應該很低。 NRI 不會保留連線和封鎖,而是在封包跨越網路時建立封包復本,而 NRI 會執行異步檢查。
注意事項
啟用 macOS 的 NRI) (網路即時檢查時,您可能會看到記憶體使用率稍微增加。
適用於 macOS 的 NRI 需求
- 裝置必須上線才能 適用於端點的 Microsoft Defender。
- 預覽功能必須在 Microsoft Defender 入口網站中開啟。
- 裝置必須位於 Beta 通道中, (先前
InsiderFast) 。 - 適用於端點的 Defender 版本號碼的最小版本號碼必須是 Beta (Insiders-Fast) : 101.24092.0004 或更新版本。 版本號碼是指
app version(也稱為平臺更新) 。 - 必須啟用即時保護。
- 必須啟用行為監視。
- 必須啟用雲端式保護。
- 裝置必須明確註冊到預覽版。
適用於 macOS 的 NRI 部署指示
以您想要啟用 macOS 的 NRI) (網路即時檢查的 適用於端點的 Microsoft Defender OrgID 相關資訊傳送電子郵件
NRIonMacOS@microsoft.com給我們。重要事項
若要評估 macOS 的 NRI,請傳送電子郵件至
NRIonMacOS@microsoft.com。 包含適用於端點的 Defender 組織標識碼。 我們會針對每個租使用者以每個要求為基礎來啟用此功能。如果尚未啟用行為監視,請啟用:
sudo mdatp config behavior-monitoring --value enabled在封鎖模式中啟用網路保護:
sudo mdatp config network-protection enforcement-level --value block啟用網路即時檢查 (NRI) :
sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"注意事項
雖然這項功能處於預覽狀態,而且因為設定是使用命令行來設定,所以 NRI (網路實時檢查不會在重新啟動之後持續) 。 您必須重新啟用它。