Monitoraggio del comportamento in Microsoft Defender Antivirus in macOS
Si applica a:
- Microsoft Defender per XDR
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender for Business
- Microsoft Defender per singoli utenti
- Antivirus Microsoft Defender
- Versioni supportate di macOS
Importante
Alcune informazioni si riferiscono al prodotto pre-rilasciato che può essere modificato in modo sostanziale prima del rilascio commerciale. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Panoramica del monitoraggio del comportamento
Il monitoraggio del comportamento monitora il comportamento dei processi per rilevare e analizzare potenziali minacce in base al comportamento delle applicazioni, dei daemon e dei file all'interno del sistema. Poiché il monitoraggio del comportamento osserva il comportamento del software in tempo reale, può adattarsi rapidamente alle minacce nuove ed in continua evoluzione e bloccarle.
Prerequisiti
- È necessario eseguire l'onboarding del dispositivo in Microsoft Defender per endpoint.
- Le funzionalità di anteprima devono essere abilitate nel portale di Microsoft Defender.
- Il dispositivo deve trovarsi nel canale Beta (in
InsiderFastprecedenza ). - Il numero di versione minimo Microsoft Defender per endpoint deve essere Beta (Insiders-Fast): 101.24042.0002 o versione successiva. Il numero di versione fa riferimento a
app_version(noto anche come aggiornamento della piattaforma). - È necessario abilitare la protezione in tempo reale (RTP).
- È necessario abilitare la protezione fornita dal cloud.
- Il dispositivo deve essere registrato in modo esplicito nel programma di anteprima.
Istruzioni per la distribuzione per il monitoraggio del comportamento
Per distribuire il monitoraggio del comportamento in Microsoft Defender per endpoint in macOS, è necessario modificare i criteri di monitoraggio del comportamento usando uno dei metodi seguenti:
Le sezioni seguenti descrivono in dettaglio ognuno di questi metodi.
distribuzione Intune
Copiare il codice XML seguente per creare un file con estensione plist e salvarlo come BehaviorMonitoring_for_MDE_on_macOS.mobileconfig
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>Aprire Profilidi configurazionedei dispositivi>.
Selezionare Crea profilo e selezionare Nuovo criterio.
Assegnare un nome al profilo. Modificare Platform=macOS in Profile type=Templates e scegliere Personalizzato nella sezione nome modello. Selezionare Configura.
Passare al file plist salvato in precedenza e salvarlo come
com.microsoft.wdav.xml.Immettere
com.microsoft.wdavcome nome del profilo di configurazione personalizzato.Aprire il profilo di configurazione, caricare il
com.microsoft.wdav.xmlfile e selezionare OK.Selezionare Gestisci>assegnazioni. Nella scheda Includi selezionare Assegna a tutti gli utenti & Tutti i dispositivi o a un gruppo di dispositivi o utenti.
Distribuzione jamf
Copiare il codice XML seguente per creare un file con estensione plist e salvarlo come Salva con nome BehaviorMonitoring_for_MDE_on_macOS.plist
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>InProfili di configurazionecomputer> selezionare Opzioni>Applicazioni & Impostazioni personalizzate,
Selezionare Carica file (file con estensione plist ).
Impostare il dominio delle preferenze su com.microsoft.wdav
Caricare il file plist salvato in precedenza.
Per altre informazioni, vedere: Impostare le preferenze per Microsoft Defender per endpoint in macOS.
Distribuzione manuale
È possibile abilitare Il monitoraggio del comportamento in Microsoft Defender per endpoint in macOS eseguendo il comando seguente dal terminale:
sudo mdatp config behavior-monitoring --value enabled
Per disabilitare:
sudo mdatp config behavior-monitoring --value disabled
Per altre informazioni, vedere: Risorse per Microsoft Defender per endpoint in macOS.
Per testare il rilevamento del comportamento (prevenzione/blocco)
Vedere Dimostrazione del monitoraggio del comportamento.
Verifica dei rilevamenti del monitoraggio del comportamento
Le Microsoft Defender per endpoint esistenti nell'interfaccia della riga di comando macOS possono essere usate per esaminare i dettagli e gli artefatti del monitoraggio del comportamento.
sudo mdatp threat list
Domande frequenti
Cosa succede se viene visualizzato un aumento dell'utilizzo della CPU o della memoria?
Disabilitare il monitoraggio del comportamento e verificare se il problema persiste.
- Se il problema non scompare, non è correlato al monitoraggio del comportamento.
- Se il problema persiste, scaricare XMDE Client Analyzer e quindi contattare il supporto tecnico Microsoft.
Ispezione in tempo reale della rete per macOS
Importante
Alcune informazioni si riferiscono al prodotto pre-rilasciato che può essere modificato in modo sostanziale prima del rilascio commerciale. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
La funzionalità di ispezione in tempo reale della rete (NRI) per macOS migliora la protezione in tempo reale (RTP) usando il monitoraggio del comportamento insieme a file, processi e altri eventi per rilevare attività sospette. Il monitoraggio del comportamento attiva sia gli invii di dati di telemetria che gli invii di esempi su file sospetti che Microsoft deve analizzare dal back-end di protezione cloud e viene recapitato al dispositivo client, con conseguente rimozione della minaccia.
C'è un impatto sulle prestazioni?
L'NRI dovrebbe avere un impatto basso sulle prestazioni di rete. Invece di mantenere la connessione e il blocco, NRI crea una copia del pacchetto mentre attraversa la rete e NRI esegue un'ispezione asincrona.
Nota
Quando l'ispezione in tempo reale di rete (NRI) per macOS è abilitata, potrebbe verificarsi un leggero aumento dell'utilizzo della memoria.
Requisiti per NRI per macOS
- È necessario eseguire l'onboarding del dispositivo in Microsoft Defender per endpoint.
- Le funzionalità di anteprima devono essere attivate nel portale di Microsoft Defender.
- Il dispositivo deve trovarsi nel canale Beta (in
InsiderFastprecedenza ). - Il numero di versione minimo per il numero di versione di Defender per endpoint deve essere Beta (Insiders-Fast): 101.24092.0004 o versione successiva. Il numero di versione fa riferimento a
app version(noto anche come aggiornamento della piattaforma). - È necessario abilitare la protezione in tempo reale.
- Il monitoraggio del comportamento deve essere abilitato.
- È necessario abilitare la protezione fornita dal cloud.
- Il dispositivo deve essere registrato in modo esplicito nell'anteprima.
Istruzioni di distribuzione per NRI per macOS
Inviaci un messaggio di posta elettronica all'indirizzo
NRIonMacOS@microsoft.comcon informazioni sul tuo Microsoft Defender per endpoint OrgID in cui desideri che sia abilitata l'ispezione in tempo reale (NRI) di rete per macOS.Importante
Per valutare NRI per macOS, inviare un messaggio di posta elettronica a
NRIonMacOS@microsoft.com. Includere l'ID organizzazione di Defender per endpoint. Questa funzionalità viene abilitata in base alle singole richieste per ogni tenant.Abilitare il monitoraggio del comportamento se non è già abilitato:
sudo mdatp config behavior-monitoring --value enabledAbilitare la protezione di rete in modalità blocco:
sudo mdatp config network-protection enforcement-level --value blockAbilitare l'ispezione in tempo reale (NRI) di rete:
sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"Nota
Anche se questa funzionalità è in anteprima e poiché l'impostazione è impostata tramite la riga di comando, l'ispezione in tempo reale di rete (NRI) non viene mantenuta dopo i riavvii. È necessario abilitarlo nuovamente.