macOS'ta Microsoft Defender Virüsten Koruma'da davranış izleme
Şunlar için geçerlidir:
- XDR için Microsoft Defender
- Uç Nokta için Microsoft Defender Planı 2
- Uç Nokta için Microsoft Defender Planı 1
- İş için Microsoft Defender
- Bireyler için Microsoft Defender
- Microsoft Defender Virüsten Koruma
- MacOS'un desteklenen sürümleri
Önemli
Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanan ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Davranış izlemeye genel bakış
Davranış izleme, sistemdeki uygulamaların, daemon'ların ve dosyaların davranışına bağlı olarak olası tehditleri algılamak ve analiz etmek için davranışı işler. Davranış izleme, yazılımın gerçek zamanlı olarak nasıl davrandığını gözlemlediğinden, yeni ve gelişen tehditlere hızla uyum sağlayabilir ve bunları engelleyebilir.
Önkoşullar
- Cihaz Uç Nokta için Microsoft Defender eklenmelidir.
- Önizleme özellikleriMicrosoft Defender portalında etkinleştirilmelidir.
- Cihazın Beta kanalında (eski adıyla
InsiderFast) olması gerekir. - En düşük Uç Nokta için Microsoft Defender sürüm numarası Beta (Insider-Fast): 101.24042.0002 veya üzeri olmalıdır. Sürüm numarası , (Platform güncelleştirmesi olarak da bilinir) anlamına gelir
app_version. - Gerçek zamanlı koruma (RTP) etkinleştirilmelidir.
- Bulut tabanlı koruma etkinleştirilmelidir.
- Cihazın önizleme programına açıkça kaydedilmesi gerekir.
Davranış izleme için dağıtım yönergeleri
macOS'taki Uç Nokta için Microsoft Defender davranış izleme dağıtmak için, aşağıdaki yöntemlerden birini kullanarak davranış izleme ilkesini değiştirmeniz gerekir:
Aşağıdaki bölümlerde bu yöntemlerin her biri ayrıntılı olarak açıklanmaktadır.
Intune dağıtımı
Bir .plist dosyası oluşturmak ve BehaviorMonitoring_for_MDE_on_macOS.mobileconfig olarak kaydetmek için aşağıdaki XML dosyasını kopyalayın
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>PayloadUUID</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadType</key> <string>Configuration</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint settings</string> <key>PayloadDescription</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>PayloadRemovalDisallowed</key> <true/> <key>PayloadScope</key> <string>System</string> <key>PayloadContent</key> <array> <dict> <key>PayloadUUID</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadType</key> <string>com.microsoft.wdav</string> <key>PayloadOrganization</key> <string>Microsoft</string> <key>PayloadIdentifier</key> <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string> <key>PayloadDisplayName</key> <string>Microsoft Defender for Endpoint configuration settings</string> <key>PayloadDescription</key> <string/> <key>PayloadVersion</key> <integer>1</integer> <key>PayloadEnabled</key> <true/> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </array> </dict> </plist>Cihaz>Yapılandırma profillerini açın.
Profil oluştur'u ve ardından Yeni İlke'yi seçin.
Profile bir ad verin. Platform=macOS'uProfil türü=Şablonlar olarak değiştirin ve şablon adı bölümünde Özel'i seçin. Yapılandır'ı seçin.
Daha önce kaydettiğiniz plist dosyasına gidin ve olarak
com.microsoft.wdav.xmlkaydedin.Özel yapılandırma profili adı olarak girin
com.microsoft.wdav.Yapılandırma profilini açın, dosyayı karşıya yükleyin ve Tamam'ı
com.microsoft.wdav.xmlseçin.AtamalarıYönet'i> seçin. Ekle sekmesinde Tüm Kullanıcılara & Tüm cihazlara veya Bir Cihaz Grubuna veya Kullanıcı Grubuna Ata'yı seçin.
JamF dağıtımı
Bir .plist dosyası oluşturmak için aşağıdaki XML dosyasını kopyalayın ve BehaviorMonitoring_for_MDE_on_macOS.plist Olarak Kaydet olarak kaydedin
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>antivirusEngine</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> </dict> <key>features</key> <dict> <key>behaviorMonitoring</key> <string>enabled</string> <key>behaviorMonitoringConfigurations</key> <dict> <key>blockExecution</key> <string>enabled</string> <key>notifyForks</key> <string>enabled</string> <key>forwardRtpToBm</key> <string>enabled</string> <key>avoidOpenCache</key> <string>enabled</string> </dict> </dict> </dict> </plist>Bilgisayarlar>Yapılandırma Profilleri'nde, Seçenekler>Uygulamalar & Özel Ayarlar'ı seçin.
Dosyayı Karşıya Yükle (.plist dosyası) öğesini seçin.
Tercih etki alanını com.microsoft.wdav olarak ayarlayın
Daha önce kaydedilen plist dosyasını karşıya yükleyin.
Daha fazla bilgi için bkz. macOS'ta Uç Nokta için Microsoft Defender için tercihleri ayarlama.
El ile dağıtım
Terminalden aşağıdaki komutu çalıştırarak macOS üzerinde Uç Nokta için Microsoft Defender Davranış İzleme'yi etkinleştirebilirsiniz:
sudo mdatp config behavior-monitoring --value enabled
Devre dışı bırakmak için:
sudo mdatp config behavior-monitoring --value disabled
Daha fazla bilgi için bkz. macOS'ta Uç Nokta için Microsoft Defender kaynakları.
Davranış izleme (önleme/engelleme) algılamasını test etmek için
Bkz . Davranış İzleme gösterimi.
Davranış izleme algılamalarını doğrulama
macOS komut satırı arabirimindeki mevcut Uç Nokta için Microsoft Defender, davranış izleme ayrıntılarını ve yapıtlarını gözden geçirmek için kullanılabilir.
sudo mdatp threat list
Sık Sorulan Sorular (SSS)
Cpu kullanımında veya bellek kullanımında bir artış görürsem ne olur?
Davranış izlemeyi devre dışı bırakın ve sorunun giderilip giderilemediğini görün.
- Sorun ortadan kaldırılmıyorsa davranış izleme ile ilgili değildir.
- Sorun giderilirse XMDE İstemci Çözümleyicisi'ni indirin ve ardından Microsoft desteğine başvurun.
macOS için ağ gerçek zamanlı incelemesi
Önemli
Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanan ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
macOS için ağ gerçek zamanlı denetimi (NRI) özelliği, şüpheli etkinliği algılamak için dosya, işlem ve diğer olaylarla birlikte davranış izleme özelliğini kullanarak gerçek zamanlı korumayı (RTP) geliştirir. Davranış izleme, Microsoft'un bulut koruması arka uçtan analiz etmek için şüpheli dosyalara hem telemetri hem de örnek gönderimleri tetikler ve istemci cihaza teslim edilir ve bu da tehdidin kaldırılmasına neden olur.
Performans üzerinde bir etkisi var mı?
NRI'nin ağ performansı üzerinde düşük bir etkisi olmalıdır. NRI, bağlantıyı tutmak ve engellemek yerine, ağ üzerinden geçerken paketin bir kopyasını oluşturur ve NRI zaman uyumsuz bir inceleme gerçekleştirir.
Not
macOS için ağ gerçek zamanlı incelemesi (NRI) etkinleştirildiğinde bellek kullanımında küçük bir artış görebilirsiniz.
macOS için NRI gereksinimleri
- Cihaz Uç Nokta için Microsoft Defender eklenmelidir.
- Önizleme özellikleri Microsoft Defender portalında açılmalıdır.
- Cihazın Beta kanalında (eski adıyla
InsiderFast) olması gerekir. - Uç Nokta için Defender sürüm numarası için en düşük sürüm numarası Beta (Insider-Fast): 101.24092.0004 veya üzeri olmalıdır. Sürüm numarası , (Platform güncelleştirmesi olarak da bilinir) anlamına gelir
app version. - Gerçek zamanlı koruma etkinleştirilmelidir.
- Davranış izleme etkinleştirilmelidir.
- Bulut tabanlı koruma etkinleştirilmelidir.
- Cihazın önizlemeye açıkça kaydedilmesi gerekir.
macOS için NRI dağıtım yönergeleri
macOS için ağ gerçek zamanlı incelemesinin (NRI) etkinleştirilmesini istediğiniz Uç Nokta için Microsoft Defender OrgID'niz hakkındaki bilgileri bize
NRIonMacOS@microsoft.come-posta ile gönderin.Önemli
macOS için NRI'yi değerlendirmek için adresine
NRIonMacOS@microsoft.come-posta gönderin. Uç Nokta için Defender Kuruluş Kimliğinizi ekleyin. Bu özelliği her kiracı için istek temelinde etkinleştiriyoruz.Henüz etkinleştirilmemişse davranış izlemeyi etkinleştirin:
sudo mdatp config behavior-monitoring --value enabledBlok modunda ağ korumasını etkinleştirme:
sudo mdatp config network-protection enforcement-level --value blockAğ gerçek zamanlı incelemesini (NRI) etkinleştirin:
sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"Not
Bu özellik önizleme aşamasındayken ve ayar komut satırı kullanılarak ayarlandığından ağ gerçek zamanlı incelemesi (NRI) yeniden başlatma sonrasında kalıcı olmaz. Yeniden etkinleştirmeniz gerekir.