Aracılığıyla paylaş


macOS'ta Microsoft Defender Virüsten Koruma'da davranış izleme

Şunlar için geçerlidir:

Önemli

Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanan ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

Davranış izlemeye genel bakış

Davranış izleme, sistemdeki uygulamaların, daemon'ların ve dosyaların davranışına bağlı olarak olası tehditleri algılamak ve analiz etmek için davranışı işler. Davranış izleme, yazılımın gerçek zamanlı olarak nasıl davrandığını gözlemlediğinden, yeni ve gelişen tehditlere hızla uyum sağlayabilir ve bunları engelleyebilir.

Önkoşullar

  • Cihaz Uç Nokta için Microsoft Defender eklenmelidir.
  • Önizleme özellikleriMicrosoft Defender portalında etkinleştirilmelidir.
  • Cihazın Beta kanalında (eski adıyla InsiderFast) olması gerekir.
  • En düşük Uç Nokta için Microsoft Defender sürüm numarası Beta (Insider-Fast): 101.24042.0002 veya üzeri olmalıdır. Sürüm numarası , (Platform güncelleştirmesi olarak da bilinir) anlamına gelir app_version .
  • Gerçek zamanlı koruma (RTP) etkinleştirilmelidir.
  • Bulut tabanlı koruma etkinleştirilmelidir.
  • Cihazın önizleme programına açıkça kaydedilmesi gerekir.

Davranış izleme için dağıtım yönergeleri

macOS'taki Uç Nokta için Microsoft Defender davranış izleme dağıtmak için, aşağıdaki yöntemlerden birini kullanarak davranış izleme ilkesini değiştirmeniz gerekir:

Aşağıdaki bölümlerde bu yöntemlerin her biri ayrıntılı olarak açıklanmaktadır.

Intune dağıtımı

  1. Bir .plist dosyası oluşturmak ve BehaviorMonitoring_for_MDE_on_macOS.mobileconfig olarak kaydetmek için aşağıdaki XML dosyasını kopyalayın

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
        <dict>
            <key>PayloadUUID</key>
            <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
            <key>PayloadType</key>
            <string>Configuration</string>
            <key>PayloadOrganization</key>
            <string>Microsoft</string>
            <key>PayloadIdentifier</key>
            <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
            <key>PayloadDisplayName</key>
            <string>Microsoft Defender for Endpoint settings</string>
            <key>PayloadDescription</key>
            <string>Microsoft Defender for Endpoint configuration settings</string>
            <key>PayloadVersion</key>
            <integer>1</integer>
            <key>PayloadEnabled</key>
            <true/>
            <key>PayloadRemovalDisallowed</key>
            <true/>
            <key>PayloadScope</key>
            <string>System</string>
            <key>PayloadContent</key>
            <array>
                <dict>
                    <key>PayloadUUID</key>
                    <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                    <key>PayloadType</key>
                    <string>com.microsoft.wdav</string>
                    <key>PayloadOrganization</key>
                    <string>Microsoft</string>
                    <key>PayloadIdentifier</key>
                    <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                    <key>PayloadDisplayName</key>
                    <string>Microsoft Defender for Endpoint configuration settings</string>
                    <key>PayloadDescription</key>
                    <string/>
                    <key>PayloadVersion</key>
                    <integer>1</integer>
                    <key>PayloadEnabled</key>
                    <true/>
                    <key>antivirusEngine</key>
                    <dict>
                    <key>behaviorMonitoring</key>
                    <string>enabled</string>
                    </dict>
                    <key>features</key>
                    <dict>
                    <key>behaviorMonitoring</key>
                    <string>enabled</string>
                    <key>behaviorMonitoringConfigurations</key>
                    <dict>
                    <key>blockExecution</key>
                    <string>enabled</string>
                    <key>notifyForks</key>
                    <string>enabled</string>
                    <key>forwardRtpToBm</key>
                    <string>enabled</string>
                    <key>avoidOpenCache</key>
                    <string>enabled</string>
                                     </dict>
                        </dict>
                </dict>
            </array>
        </dict>
    </plist>
    
  2. Cihaz>Yapılandırma profillerini açın.

  3. Profil oluştur'u ve ardından Yeni İlke'yi seçin.

  4. Profile bir ad verin. Platform=macOS'uProfil türü=Şablonlar olarak değiştirin ve şablon adı bölümünde Özel'i seçin. Yapılandır'ı seçin.

  5. Daha önce kaydettiğiniz plist dosyasına gidin ve olarak com.microsoft.wdav.xmlkaydedin.

  6. Özel yapılandırma profili adı olarak girincom.microsoft.wdav.

  7. Yapılandırma profilini açın, dosyayı karşıya yükleyin ve Tamam'ıcom.microsoft.wdav.xml seçin.

  8. AtamalarıYönet'i> seçin. Ekle sekmesinde Tüm Kullanıcılara & Tüm cihazlara veya Bir Cihaz Grubuna veya Kullanıcı Grubuna Ata'yı seçin.

JamF dağıtımı

  1. Bir .plist dosyası oluşturmak için aşağıdaki XML dosyasını kopyalayın ve BehaviorMonitoring_for_MDE_on_macOS.plist Olarak Kaydet olarak kaydedin

    <?xml version="1.0" encoding="UTF-8"?>
    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    <plist version="1.0">
        <dict>
            <key>antivirusEngine</key>
                <dict>
                    <key>behaviorMonitoring</key>
                    <string>enabled</string>
                </dict>
                    <key>features</key>
                         <dict>
                             <key>behaviorMonitoring</key>
                             <string>enabled</string>
                             <key>behaviorMonitoringConfigurations</key>
                                 <dict>
                                     <key>blockExecution</key>
                                     <string>enabled</string>
                                     <key>notifyForks</key>
                                     <string>enabled</string>
                                     <key>forwardRtpToBm</key>
                                     <string>enabled</string>
                                     <key>avoidOpenCache</key>
                                     <string>enabled</string>
                                 </dict>
                         </dict>
        </dict>
    </plist>
    
  2. Bilgisayarlar>Yapılandırma Profilleri'nde, Seçenekler>Uygulamalar & Özel Ayarlar'ı seçin.

  3. Dosyayı Karşıya Yükle (.plist dosyası) öğesini seçin.

  4. Tercih etki alanını com.microsoft.wdav olarak ayarlayın

  5. Daha önce kaydedilen plist dosyasını karşıya yükleyin.

Daha fazla bilgi için bkz. macOS'ta Uç Nokta için Microsoft Defender için tercihleri ayarlama.

El ile dağıtım

Terminalden aşağıdaki komutu çalıştırarak macOS üzerinde Uç Nokta için Microsoft Defender Davranış İzleme'yi etkinleştirebilirsiniz:

sudo mdatp config behavior-monitoring --value enabled

Devre dışı bırakmak için:

sudo mdatp config behavior-monitoring --value disabled

Daha fazla bilgi için bkz. macOS'ta Uç Nokta için Microsoft Defender kaynakları.

Davranış izleme (önleme/engelleme) algılamasını test etmek için

Bkz . Davranış İzleme gösterimi.

Davranış izleme algılamalarını doğrulama

macOS komut satırı arabirimindeki mevcut Uç Nokta için Microsoft Defender, davranış izleme ayrıntılarını ve yapıtlarını gözden geçirmek için kullanılabilir.


sudo mdatp threat list

Sık Sorulan Sorular (SSS)

Cpu kullanımında veya bellek kullanımında bir artış görürsem ne olur?

Davranış izlemeyi devre dışı bırakın ve sorunun giderilip giderilemediğini görün.

  • Sorun ortadan kaldırılmıyorsa davranış izleme ile ilgili değildir.
  • Sorun giderilirse XMDE İstemci Çözümleyicisi'ni indirin ve ardından Microsoft desteğine başvurun.

macOS için ağ gerçek zamanlı incelemesi

Önemli

Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanan ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.

macOS için ağ gerçek zamanlı denetimi (NRI) özelliği, şüpheli etkinliği algılamak için dosya, işlem ve diğer olaylarla birlikte davranış izleme özelliğini kullanarak gerçek zamanlı korumayı (RTP) geliştirir. Davranış izleme, Microsoft'un bulut koruması arka uçtan analiz etmek için şüpheli dosyalara hem telemetri hem de örnek gönderimleri tetikler ve istemci cihaza teslim edilir ve bu da tehdidin kaldırılmasına neden olur.

Performans üzerinde bir etkisi var mı?

NRI'nin ağ performansı üzerinde düşük bir etkisi olmalıdır. NRI, bağlantıyı tutmak ve engellemek yerine, ağ üzerinden geçerken paketin bir kopyasını oluşturur ve NRI zaman uyumsuz bir inceleme gerçekleştirir.

Not

macOS için ağ gerçek zamanlı incelemesi (NRI) etkinleştirildiğinde bellek kullanımında küçük bir artış görebilirsiniz.

macOS için NRI gereksinimleri

  • Cihaz Uç Nokta için Microsoft Defender eklenmelidir.
  • Önizleme özellikleri Microsoft Defender portalında açılmalıdır.
  • Cihazın Beta kanalında (eski adıyla InsiderFast) olması gerekir.
  • Uç Nokta için Defender sürüm numarası için en düşük sürüm numarası Beta (Insider-Fast): 101.24092.0004 veya üzeri olmalıdır. Sürüm numarası , (Platform güncelleştirmesi olarak da bilinir) anlamına gelir app version .
  • Gerçek zamanlı koruma etkinleştirilmelidir.
  • Davranış izleme etkinleştirilmelidir.
  • Bulut tabanlı koruma etkinleştirilmelidir.
  • Cihazın önizlemeye açıkça kaydedilmesi gerekir.

macOS için NRI dağıtım yönergeleri

  1. macOS için ağ gerçek zamanlı incelemesinin (NRI) etkinleştirilmesini istediğiniz Uç Nokta için Microsoft Defender OrgID'niz hakkındaki bilgileri bize NRIonMacOS@microsoft.com e-posta ile gönderin.

    Önemli

    macOS için NRI'yi değerlendirmek için adresine NRIonMacOS@microsoft.come-posta gönderin. Uç Nokta için Defender Kuruluş Kimliğinizi ekleyin. Bu özelliği her kiracı için istek temelinde etkinleştiriyoruz.

  2. Henüz etkinleştirilmemişse davranış izlemeyi etkinleştirin:

    
    sudo mdatp config behavior-monitoring --value enabled
    
    
  3. Blok modunda ağ korumasını etkinleştirme:

    
    sudo mdatp config network-protection enforcement-level --value block
    
    
  4. Ağ gerçek zamanlı incelemesini (NRI) etkinleştirin:

    
    sudo mdatp network-protection remote-settings-override set --value "{\"enableNriMpengineMetadata\" : true}"
    
    
    

    Not

    Bu özellik önizleme aşamasındayken ve ayar komut satırı kullanılarak ayarlandığından ağ gerçek zamanlı incelemesi (NRI) yeniden başlatma sonrasında kalıcı olmaz. Yeniden etkinleştirmeniz gerekir.