مراقبة السلوك في برنامج الحماية من الفيروسات Microsoft Defender على macOS

ينطبق على:

• Microsoft Defender ل XDR
• Defender for Endpoint الخطة 2
• الخطة 1 من Microsoft Defender لنقطة النهاية
• Microsoft Defender for Business
• Microsoft Defender للأفراد
• برنامج الحماية من الفيروسات من Microsoft Defender
• الإصدارات المدعومة من macOS

نظرة عامة على مراقبة السلوك

تراقب مراقبة السلوك سلوك العملية للكشف عن التهديدات المحتملة وتحليلها استنادا إلى سلوك التطبيقات والخفية والملفات داخل النظام. نظرا لأن مراقبة السلوك تلاحظ كيفية تصرف البرنامج في الوقت الحقيقي، يمكنه التكيف بسرعة مع التهديدات الجديدة والمتطورة ومنعها.

المتطلبات الأساسية

• يجب إلحاق الجهاز Microsoft Defender لنقطة النهاية.
• يجب تمكين ميزات المعاينة في مدخل Microsoft Defender.
• يجب أن يكون الجهاز في قناة بيتا (سابقا InsiderFast).
• يجب أن يكون الحد الأدنى لرقم إصدار Microsoft Defender لنقطة النهاية بيتا (Insiders-Fast): 101.24042.0002 أو أحدث. يشير رقم الإصدار إلى app_version (المعروف أيضا باسم تحديث النظام الأساسي).
• يجب تمكين الحماية في الوقت الحقيقي (RTP).
• يجب تمكين الحماية المقدمة من السحابة.
• يجب تسجيل الجهاز بشكل صريح في برنامج المعاينة.

إرشادات التوزيع لمراقبة السلوك

لنشر مراقبة السلوك في Microsoft Defender لنقطة النهاية على macOS، يجب تغيير نهج مراقبة السلوك باستخدام إحدى الطرق التالية:

• Intune
• JamF أو غيرها من الأجهزة غير التابعة ل Microsoft MDM
• يدويا

تصف الأقسام التالية كل أسلوب من هذه الطرق بالتفصيل.

توزيع Intune

1. انسخ XML التالي لإنشاء ملف .plist وحفظه ك BehaviorMonitoring_for_MDE_on_macOS.mobileconfig

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. افتحملفات تعريف تكوينالأجهزة>.

3. حدد Create profile وحدد New Policy.

4. امنح ملف التعريف اسما. قم بتغيير Platform=macOS إلى Profile type=Templates واختر Custom في قسم template name. حدد تكوين.

5. انتقل إلى ملف plist الذي حفظته سابقا واحفظه ك com.microsoft.wdav.xml.

6. أدخل com.microsoft.wdavكاسم ملف تعريف التكوين المخصص.

7. افتح ملف تعريف التكوين وقم بتحميل com.microsoft.wdav.xml الملف وحدد موافق.

8. حدد إدارة>التعيينات. في علامة التبويب تضمين ، حدد تعيين إلى كافة المستخدمين & كافة الأجهزة أو إلى مجموعة أجهزة أو مجموعة مستخدمين.

توزيع JamF

1. انسخ XML التالي لإنشاء ملف .plist وحفظه باسم Save as BehaviorMonitoring_for_MDE_on_macOS.plist

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. فيملفات تعريف تكوينأجهزة الكمبيوتر>، حدد خيارات>التطبيقات & الإعدادات المخصصة،

3. حدد Upload File (ملف.plist ).

4. تعيين مجال التفضيل إلى com.microsoft.wdav

5. قم بتحميل ملف plist المحفوظ سابقا.

لمزيد من المعلومات، راجع: تعيين تفضيلات Microsoft Defender لنقطة النهاية على macOS.

النشر اليدوي

يمكنك تمكين مراقبة السلوك على Microsoft Defender لنقطة النهاية على macOS عن طريق تشغيل الأمر التالي من Terminal:

sudo mdatp config behavior-monitoring --value enabled

لتعطيل:

sudo mdatp config behavior-monitoring --value disabled

لمزيد من المعلومات، راجع: موارد Microsoft Defender لنقطة النهاية على macOS.

لاختبار الكشف عن مراقبة السلوك (الوقاية/الحظر)

راجع العرض التوضيحي لمراقبة السلوك.

التحقق من اكتشافات مراقبة السلوك

يمكن استخدام Microsoft Defender لنقطة النهاية الموجودة على واجهة سطر أوامر macOS لمراجعة تفاصيل مراقبة السلوك والبيانات الاصطناعية.

sudo mdatp threat list

الأسئلة المتداولة (FAQ)

ماذا لو رأيت زيادة في استخدام وحدة المعالجة المركزية أو استخدام الذاكرة؟

تعطيل مراقبة السلوك ومعرفة ما إذا كانت المشكلة ستزول.

• إذا لم تزول المشكلة، فهي لا تتعلق بمراقبة السلوك.
• إذا انقطعت المشكلة، فنزل محلل عميل XMDE، ثم اتصل بدعم Microsoft.

فحص الشبكة في الوقت الحقيقي لنظام التشغيل macOS

يعزز فحص الشبكة في الوقت الحقيقي (NRI) لميزة macOS الحماية في الوقت الحقيقي (RTP) باستخدام مراقبة السلوك بالتنسيق مع الملفات والعملية والأحداث الأخرى للكشف عن النشاط المشبوه. تؤدي مراقبة السلوك إلى تشغيل كل من بيانات تتبع الاستخدام ونماذج عمليات الإرسال على الملفات المشبوهة ل Microsoft لتحليلها من الخلفية للحماية السحابية، ويتم تسليمها إلى جهاز العميل، ما يؤدي إلى إزالة التهديد.

هل هناك تأثير على الأداء؟

يجب أن يكون ل NRI تأثير منخفض على أداء الشبكة. بدلا من عقد الاتصال والحظر، يقوم NRI بعمل نسخة من الحزمة أثناء عبورها للشبكة، ويقوم NRI بإجراء فحص غير متزامن.

متطلبات NRI لنظام التشغيل macOS

• يجب إلحاق الجهاز Microsoft Defender لنقطة النهاية.
• يجب تشغيل ميزات المعاينة في مدخل Microsoft Defender.
• يجب أن يكون الجهاز في قناة بيتا (سابقا InsiderFast).
• يجب أن يكون الحد الأدنى لرقم إصدار Defender لنقطة النهاية بيتا (Insiders-Fast): 101.24092.0004 أو أحدث. يشير رقم الإصدار إلى app version (المعروف أيضا باسم تحديث النظام الأساسي).
• يجب تمكين الحماية في الوقت الحقيقي.
• يجب تمكين مراقبة السلوك.
• يجب تمكين الحماية المقدمة من السحابة.
• يجب تسجيل الجهاز بشكل صريح في المعاينة.

إرشادات التوزيع ل NRI لنظام التشغيل macOS

1. أرسل إلينا NRIonMacOS@microsoft.com عبر البريد الإلكتروني مع معلومات حول Microsoft Defender لنقطة النهاية OrgID حيث ترغب في تمكين فحص الشبكة في الوقت الحقيقي (NRI) لنظام التشغيل macOS.

   هام

   لتقييم NRI لنظام التشغيل macOS، أرسل بريدا إلكترونيا إلى NRIonMacOS@microsoft.com. قم بتضمين معرف مؤسسة Defender لنقطة النهاية. نحن نقوم بتمكين هذه الميزة على أساس كل طلب لكل مستأجر.

2. تمكين مراقبة السلوك إذا لم تكن ممكنة بالفعل:

   
   sudo mdatp config behavior-monitoring --value enabled
   
   

3. تمكين حماية الشبكة في وضع الحظر:

   
   sudo mdatp config network-protection enforcement-level --value block
   
   

4. تمكين فحص الشبكة في الوقت الحقيقي (NRI):

   
   sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"
   
   
   

   ملاحظة

   أثناء معاينة هذه الميزة، ونظرا لتعيين الإعداد باستخدام سطر الأوامر، لا يستمر فحص الشبكة في الوقت الحقيقي (NRI) بعد عمليات إعادة التشغيل. يجب إعادة تمكينه.