Monitorização de comportamento no Antivírus do Microsoft Defender no macOS
Aplica-se a:
- Microsoft Defender para XDR
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Empresas
- Microsoft Defender para Indivíduos
- Microsoft Defender Antivírus
- Versões suportadas do macOS
Importante
Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Descrição geral da monitorização de comportamento
A monitorização de comportamento monitoriza o comportamento do processo para detetar e analisar potenciais ameaças com base no comportamento das aplicações, daemons e ficheiros no sistema. À medida que a monitorização de comportamento observa o comportamento do software em tempo real, pode adaptar-se rapidamente a ameaças novas e em evolução e bloqueá-las.
Pré-requisitos
- O dispositivo tem de estar integrado no Microsoft Defender para Ponto de Extremidade.
- As funcionalidades de pré-visualização têm de estar ativadas no portal do Microsoft Defender.
- O dispositivo tem de estar no canal Beta (anteriormente
InsiderFast). - O número mínimo Microsoft Defender para Ponto de Extremidade versão tem de ser Beta (Insiders-Fast): 101.24042.0002 ou mais recente. O número da versão refere-se ao
app_version(também conhecido como Atualização da plataforma). - A proteção em tempo real (RTP) tem de estar ativada.
- A proteção fornecida pela cloud tem de estar ativada.
- O dispositivo tem de estar explicitamente inscrito no programa de pré-visualização.
Instruções de implementação para monitorização de comportamento
Para implementar a monitorização de comportamento no Microsoft Defender para Ponto de Extremidade no macOS, tem de alterar a política de monitorização de comportamento através de um dos seguintes métodos:
As secções seguintes descrevem cada um destes métodos em detalhe.
implementação do Intune
Copie o XML seguinte para criar um ficheiro .plist e guarde-o como BehaviorMonitoring_for_MDE_on_macOS.mobileconfig
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>Abraperfis de Configuração de Dispositivos>.
Selecione Criar perfil e selecione Nova Política.
Dê um nome ao perfil. Altere Platform=macOS para Profile type=Templates e selecione Personalizar na secção nome do modelo. Selecione Configurar.
Aceda ao ficheiro plist que guardou anteriormente e guarde-o como
com.microsoft.wdav.xml.Introduza
com.microsoft.wdavcomo o nome do perfil de configuração personalizada.Abra o perfil de configuração, carregue o
com.microsoft.wdav.xmlficheiro e selecione OK.Selecione Gerir>Atribuições. No separador Incluir , selecione Atribuir a Todos os Utilizadores & Todos os dispositivos ou a um Grupo de Dispositivos ou Grupo de Utilizadores.
Implementação do JamF
Copie o XML seguinte para criar um ficheiro .plist e guarde-o como Guardar como BehaviorMonitoring_for_MDE_on_macOS.plist
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>EmPerfis de Configuração deComputadores>, selecione Opções>Aplicações & Definições Personalizadas,
Selecione Carregar Ficheiro (ficheiro .plist ).
Definir o domínio de preferência como com.microsoft.wdav
Carregue o ficheiro plist guardado anteriormente.
Para obter mais informações, consulte: Definir preferências para Microsoft Defender para Ponto de Extremidade no macOS.
Implantação manual
Pode ativar a Monitorização de Comportamento no Microsoft Defender para Ponto de Extremidade no macOS ao executar o seguinte comando a partir do Terminal:
sudo mdatp config behavior-monitoring --value enabled
Para desativar:
sudo mdatp config behavior-monitoring --value disabled
Para obter mais informações, veja: Recursos para Microsoft Defender para Ponto de Extremidade no macOS.
Para testar a deteção de monitorização de comportamento (prevenção/bloqueio)
Veja Demonstração de Monitorização de Comportamento.
Verificar deteções de monitorização de comportamento
Os Microsoft Defender para Ponto de Extremidade existentes na interface de linha de comandos do macOS podem ser utilizados para rever detalhes e artefactos de monitorização de comportamento.
sudo mdatp threat list
Perguntas Mais Frequentes (FAQ)
E se vir um aumento na utilização da cpu ou na utilização da memória?
Desative a monitorização de comportamento e veja se o problema desaparece.
- Se o problema não desaparecer, não está relacionado com a monitorização de comportamento.
- Se o problema desaparecer, transfira o Analisador de Cliente XMDE e, em seguida, contacte o suporte da Microsoft.
Inspeção em tempo real da rede para macOS
Importante
Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
A inspeção de rede em tempo real (NRI) para a funcionalidade macOS melhora a proteção em tempo real (RTP) através da monitorização de comportamento em conjunto com ficheiros, processos e outros eventos para detetar atividades suspeitas. A monitorização de comportamento aciona a telemetria e submissões de exemplo em ficheiros suspeitos para a Microsoft analisar a partir do back-end de proteção da cloud e é entregue no dispositivo cliente, o que resulta na remoção da ameaça.
Existe algum impacto no desempenho?
A NRI deve ter um baixo impacto no desempenho da rede. Em vez de manter a ligação e o bloqueio, a NRI faz uma cópia do pacote à medida que atravessa a rede e a NRI efetua uma inspeção assíncrona.
Observação
Quando a inspeção de rede em tempo real (NRI) para macOS estiver ativada, poderá ver um ligeiro aumento na utilização da memória.
Requisitos da NRI para macOS
- O dispositivo tem de estar integrado no Microsoft Defender para Ponto de Extremidade.
- As funcionalidades de pré-visualização têm de estar ativadas no portal do Microsoft Defender.
- O dispositivo tem de estar no canal Beta (anteriormente
InsiderFast). - O número mínimo da versão do Defender para Endpoint tem de ser Beta (Insiders-Fast): 101.24092.0004 ou mais recente. O número da versão refere-se ao
app version(também conhecido como Atualização da plataforma). - A proteção em tempo real tem de estar ativada.
- A monitorização de comportamento tem de estar ativada.
- A proteção fornecida pela cloud tem de estar ativada.
- O dispositivo tem de estar explicitamente inscrito na pré-visualização.
Instruções de implementação do NRI para macOS
Envie-nos
NRIonMacOS@microsoft.comum e-mail com informações sobre o seu Microsoft Defender para Ponto de Extremidade OrgID, onde gostaria de ter a inspeção em tempo real (NRI) de rede para macOS ativada.Importante
Para avaliar a NRI para macOS, envie um e-mail para
NRIonMacOS@microsoft.com. Inclua o ID da Organização do Defender para Endpoint. Estamos a ativar esta funcionalidade numa base por pedido para cada inquilino.Ative a monitorização de comportamento se ainda não estiver ativada:
sudo mdatp config behavior-monitoring --value enabledAtivar a proteção de rede no modo de bloqueio:
sudo mdatp config network-protection enforcement-level --value blockAtivar a inspeção em tempo real da rede (NRI):
sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"Observação
Na Pré-visualização Pública, uma vez que a definição é definida através de uma linha de comandos, a inspeção em tempo real da rede (NRI) não irá persistir nos reinícios. Terá de a reativar.