Blokování chování klienta
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
- Antivirová ochrana v Microsoft Defenderu
Platforma
- Windows
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Přehled
Blokování chování klienta je součástí behaviorálního blokování a schopností omezení v Defenderu for Endpoint. Vzhledem k tomu, že se na zařízeních (označovaných také jako klienti nebo koncové body) detekuje podezřelé chování, artefakty (jako jsou soubory nebo aplikace) se blokují, kontrolují a opravují automaticky.
Antivirová ochrana funguje nejlépe ve spojení s cloudovou ochranou.
Jak funguje blokování chování klienta
Microsoft Defender Antivirus dokáže na zařízení detekovat podezřelé chování, škodlivý kód, útoky bez souborů a v paměti a další. Když zjistíte podezřelé chování, Microsoft Defender Antivirus monitoruje a odesílá podezřelé chování a jejich stromy procesů do služby cloudové ochrany. Strojové učení rozlišuje škodlivé aplikace a dobré chování v milisekundách a klasifikuje jednotlivé artefakty. Téměř v reálném čase, jakmile se zjistí, že je artefakt škodlivý, je na zařízení zablokovaný.
Při každém zjištění podezřelého chování se vygeneruje výstraha, která je viditelná během detekce a zastavení útoku; výstrahy, například "upozornění na počáteční přístup", se aktivují a zobrazí se na portálu Microsoft Defender.
Blokování chování klienta je efektivní, protože nejen pomáhá zabránit spuštění útoku, ale může také pomoct zastavit útok, který se začal provádět. A díky blokování smyčky zpětné vazby (další funkce blokování a omezování chování) se útokům brání na jiných zařízeních ve vaší organizaci.
Detekce na základě chování
Detekce na základě chování jsou pojmenovány podle MITRE ATT&CK Matrix for Enterprise. Zásady vytváření názvů pomáhají identifikovat fázi útoku, ve které bylo zjištěno škodlivé chování:
| Taktický | Název hrozby detekce |
|---|---|
| Počáteční přístup | Behavior:Win32/InitialAccess.*!ml |
| Poprava | Behavior:Win32/Execution.*!ml |
| Perzistence | Behavior:Win32/Persistence.*!ml |
| Eskalace oprávnění | Behavior:Win32/PrivilegeEscalation.*!ml |
| Únik v obraně | Behavior:Win32/DefenseEvasion.*!ml |
| Přístup k přihlašovacím údajům | Behavior:Win32/CredentialAccess.*!ml |
| Objev | Behavior:Win32/Discovery.*!ml |
| Laterální pohyb | Behavior:Win32/LateralMovement.*!ml |
| Sbírka | Behavior:Win32/Collection.*!ml |
| Příkazy a řízení | Behavior:Win32/CommandAndControl.*!ml |
| Exfiltrace | Behavior:Win32/Exfiltration.*!ml |
| Dopad | Behavior:Win32/Impact.*!ml |
| Nekategorizované | Behavior:Win32/Generic.*!ml |
Tip
Další informace o konkrétních hrozbách najdete v nedávné aktivitě globálních hrozeb.
Konfigurace blokování chování klienta
Pokud vaše organizace používá Defender for Endpoint, je blokování chování klienta ve výchozím nastavení povolené. Pokud ale chcete využívat všechny funkce Defenderu for Endpoint, včetně blokování chování a omezování, ujistěte se, že jsou povolené a nakonfigurované následující funkce a možnosti Defenderu for Endpoint:
- Standardní hodnoty defenderu pro koncové body
- Zařízení onboardovaná do Defenderu for Endpoint
- EDR v režimu blokování
- Omezení prostoru pro útok
- Ochrana nové generace (antivirová ochrana, antimalwarová ochrana a další možnosti ochrany před hrozbami)
Tip
Pokud hledáte informace související s antivirovou ochranou pro jiné platformy, podívejte se na:
- Nastavení předvoleb pro Microsoft Defender pro koncový bod v macOSu
- Microsoft Defender for Endpoint v systému Mac
- Nastavení zásad antivirové ochrany macOSu pro antivirovou ochranu v Microsoft Defenderu pro Intune
- Nastavení předvoleb pro Microsoft Defender pro koncový bod v Linuxu
- Microsoft Defender for Endpoint v systému Linux
- Konfigurace funkcí Defender for Endpoint v Androidu
- Konfigurace funkcí Microsoft Defender for Endpoint v iOSu
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.