macOS üzerinde Microsoft Defender Virüsten Koruma'da davranış izleme

Şunlar için geçerlidir:

• XDR için Microsoft Defender
• Uç Nokta için Microsoft Defender Planı 2
• Uç Nokta için Microsoft Defender Planı 1
• İş için Microsoft Defender
• Kişiler için Microsoft Defender
• Microsoft Defender Virüsten Koruma
• MacOS'un desteklenen sürümleri

Önkoşullar

• Cihaz Uç Nokta için Microsoft Defender'a eklendi.
• Önizleme özellikleri Microsoft XDR portalında (https://security.microsoft.com ) etkinleştirilir.
• Cihazın Beta kanalında (eski adı InsiderFast) olması gerekir.
• Uç Nokta için En Düşük Microsoft Defender sürüm numarası Beta (Insider-Fast): 101.24042.0002 veya üzeri olmalıdır. Sürüm numarası app_version ( Platform güncelleştirmesi olarak da bilinir) ifade eder.
• Real-Time Koruması'nın (RTP) etkinleştirildiğinden emin olun.
• Bulut tabanlı korumanın etkinleştirildiğinden emin olun.
• Cihazın önizlemeye açıkça kaydedilmesi gerekir.

Genel Bakış

Davranış izleme, sistemdeki uygulamaların, daemon'ların ve dosyaların davranışına bağlı olarak olası tehditleri algılamak ve analiz etmek için davranışı işler. Davranış izleme, yazılımın gerçek zamanlı olarak nasıl davrandığını gözlemlediğinden, yeni ve gelişen tehditlere hızla uyum sağlayabilir ve bunları engelleyebilir.

Dağıtım yönergeleri

macOS üzerinde Uç Nokta için Microsoft Defender'da davranış izleme dağıtmak için, aşağıdaki yöntemlerden birini kullanarak davranış izleme ilkesini değiştirmeniz gerekir:

• Intune
• JamF veya diğer 3^rd taraf MDM
• Elle

Aşağıdaki bölümlerde bu yöntemlerin her biri ayrıntılı olarak açıklanmaktadır.

Intune dağıtımı

1. Bir .plist dosyası oluşturmak ve BehaviorMonitoring_for_MDE_on_macOS.mobileconfig olarak kaydetmek için aşağıdaki XML dosyasını kopyalayın

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>PayloadUUID</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadType</key>
           <string>Configuration</string>
           <key>PayloadOrganization</key>
           <string>Microsoft</string>
           <key>PayloadIdentifier</key>
           <string>C4E6A782-0C8D-44AB-A025-EB893987A295</string>
           <key>PayloadDisplayName</key>
           <string>Microsoft Defender for Endpoint settings</string>
           <key>PayloadDescription</key>
           <string>Microsoft Defender for Endpoint configuration settings</string>
           <key>PayloadVersion</key>
           <integer>1</integer>
           <key>PayloadEnabled</key>
           <true/>
           <key>PayloadRemovalDisallowed</key>
           <true/>
           <key>PayloadScope</key>
           <string>System</string>
           <key>PayloadContent</key>
           <array>
               <dict>
                   <key>PayloadUUID</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadType</key>
                   <string>com.microsoft.wdav</string>
                   <key>PayloadOrganization</key>
                   <string>Microsoft</string>
                   <key>PayloadIdentifier</key>
                   <string>99DBC2BC-3B3A-46A2-A413-C8F9BB9A7295</string>
                   <key>PayloadDisplayName</key>
                   <string>Microsoft Defender for Endpoint configuration settings</string>
                   <key>PayloadDescription</key>
                   <string/>
                   <key>PayloadVersion</key>
                   <integer>1</integer>
                   <key>PayloadEnabled</key>
                   <true/>
                   <key>antivirusEngine</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   </dict>
                   <key>features</key>
                   <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
                   <key>behaviorMonitoringConfigurations</key>
                   <dict>
                   <key>blockExecution</key>
                   <string>enabled</string>
                   <key>notifyForks</key>
                   <string>enabled</string>
                   <key>forwardRtpToBm</key>
                   <string>enabled</string>
                   <key>avoidOpenCache</key>
                   <string>enabled</string>
                                    </dict>
                       </dict>
               </dict>
           </array>
       </dict>
   </plist>
   

2. Cihaz>Yapılandırma profillerini açın.

3. Profil oluştur'u ve ardından Yeni İlke'yi seçin.

4. Profile bir ad verin. Platform=macOS'uProfil türü=Şablonlar olarak değiştirin ve şablon adı bölümünde Özel'i seçin. Yapılandır'ı seçin.

5. Daha önce kaydettiğiniz plist dosyasına gidin ve olarak com.microsoft.wdav.xmlkaydedin.

6. Özel yapılandırma profili adı olarak girincom.microsoft.wdav.

7. Yapılandırma profilini açın, dosyayı karşıya yükleyin ve Tamam'ıcom.microsoft.wdav.xml seçin.

8. AtamalarıYönet'i> seçin. Ekle sekmesinde Tüm Kullanıcılara & Tüm cihazlara veya Bir Cihaz Grubuna veya Kullanıcı Grubuna Ata'yı seçin.

JamF dağıtımı aracılığıyla

1. Bir .plist dosyası oluşturmak için aşağıdaki XML dosyasını kopyalayın ve BehaviorMonitoring_for_MDE_on_macOS.plist Olarak Kaydet olarak kaydedin

   <?xml version="1.0" encoding="UTF-8"?>
   <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
   <plist version="1.0">
       <dict>
           <key>antivirusEngine</key>
               <dict>
                   <key>behaviorMonitoring</key>
                   <string>enabled</string>
               </dict>
                   <key>features</key>
                        <dict>
                            <key>behaviorMonitoring</key>
                            <string>enabled</string>
                            <key>behaviorMonitoringConfigurations</key>
                                <dict>
                                    <key>blockExecution</key>
                                    <string>enabled</string>
                                    <key>notifyForks</key>
                                    <string>enabled</string>
                                    <key>forwardRtpToBm</key>
                                    <string>enabled</string>
                                    <key>avoidOpenCache</key>
                                    <string>enabled</string>
                                </dict>
                        </dict>
       </dict>
   </plist>
   

2. Bilgisayarlar>Yapılandırma Profilleri'nde, Seçenekler>Uygulamalar & Özel Ayarlar'ı seçin.

3. Dosyayı Karşıya Yükle (.plist dosyası) öğesini seçin.

4. Tercih etki alanını com.microsoft.wdav olarak ayarlayın

5. Daha önce kaydedilen plist dosyasını karşıya yükleyin.

Daha fazla bilgi için bkz. macOS'ta Uç Nokta için Microsoft Defender tercihlerini ayarlama.

El ile dağıtım

Terminalden aşağıdaki komutu çalıştırarak macOS üzerinde Uç Nokta için Microsoft Defender'da Davranış İzleme'yi etkinleştirebilirsiniz:

sudo mdatp config behavior-monitoring --value enabled

Devre dışı bırakmak için:

sudo mdatp config behavior-monitoring --value disabled

Daha fazla bilgi için bkz. macOS'ta Uç Nokta için Microsoft Defender kaynakları.

Davranış izleme (önleme/engelleme) algılamasını test etmek için

Bkz . Davranış İzleme gösterimi.

Davranış İzleme algılamasını doğrulama

macOS üzerinde Uç Nokta için Microsoft Defender komut satırı arabirimi, davranış izleme ayrıntılarını ve yapıtlarını gözden geçirmek için kullanılabilir.

sudo mdatp threat list

Sık Sorulan Sorular (SSS)

Cpu kullanımında veya bellek kullanımında bir artış görürsem ne olur?

Davranış İzleme'yi devre dışı bırakın ve sorunun giderilip giderilemediğini görün.

• Sorun ortadan kaldırılmazsa Davranış İzleme ile ilgili değildir.
• Sorun giderildiyse bir aka.ms/xMDEClientAnalyzer alın ve Microsoft desteğine başvurun.