Ukázka monitorování chování

Platí pro:

• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender pro firmy
• Plán 1 pro Microsoft Defender for Endpoint
• Antivirová ochrana v Microsoft Defenderu
• Microsoft Defender pro jednotlivce

Monitorování chování ve službě Microsoft Defender Antivirus monitoruje chování procesů a zjišťuje a analyzuje potenciální hrozby na základě chování aplikací, služeb a souborů. Místo toho, aby se monitorování chování spoléhalo výhradně na porovnávání obsahu, které identifikuje známé vzory malwaru, se zaměřuje na sledování chování softwaru v reálném čase.

Požadavky a nastavení scénáře

• Windows 11, Windows 10, Windows 8.1, Windows 7 SP1

• Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 a Windows Server 2008 R2

• macOS

• Microsoft Defender je povolená ochrana v reálném čase

• Monitorování chování je povolené.

Windows

Ověření, Microsoft Defender je povolená ochrana v reálném čase

Pokud chcete ověřit, že je povolená ochrana v reálném čase, otevřete PowerShell jako správce a spusťte následující příkaz:

get-mpComputerStatus |ft RealTimeProtectionEnabled

Pokud je povolená ochrana v reálném čase, zobrazí se ve výsledku hodnota True.

Povolení monitorování chování pro Microsoft Defender for Endpoint

Další informace o tom, jak povolit monitorování chování pro Defender for Endpoint, najdete v tématu Povolení monitorování chování.

Ukázka fungování monitorování chování ve Windows a Windows Server

Spuštěním následujícího příkazu PowerShellu si předveďte, jak monitorování chování blokuje datovou část:

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

Výstup obsahuje očekávanou chybu následujícím způsobem:

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

Na portálu Microsoft Defender by se v Centru akcí měly zobrazit následující informace:

• Zabezpečení Windows
• Nalezené hrozby
• Microsoft Defender Antivirus zjistil hrozby. Získejte podrobnosti.
• Propustit

Pokud vyberete odkaz, otevře se aplikace Zabezpečení Windows. Vyberte Historie ochrany.

Měly by se zobrazit informace podobné následujícímu výstupu:

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more    Actions

Na portálu Microsoft Defender by se měly zobrazit podobné informace:

Suspicious 'BmTestOfflineUI' behavior was blocked

Když ho vyberete, zobrazí se strom výstrah, který obsahuje následující informace:

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

Ověření, Microsoft Defender je povolená ochrana v reálném čase

Pokud chcete ověřit, že je povolená ochrana v reálném čase (RTP), otevřete okno terminálu a zkopírujte a spusťte následující příkaz:

mdatp health --field real_time_protection_enabled

Pokud je povolená funkce RTP, zobrazí se ve výsledku hodnota 1.

Povolení monitorování chování pro Microsoft Defender for Endpoint

Další informace o tom, jak povolit monitorování chování pro Defender for Endpoint, najdete v tématu Pokyny k nasazení pro monitorování chování.

Ukázka fungování monitorování chování

Postup předvedení toho, jak monitorování chování blokuje datovou část:

1. Vytvořte skript Bash pomocí skriptu nebo textového editoru, jako je nano nebo Visual Studio Code (VS Code):

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Uložit jako BM_test.sh.

3. Spuštěním následujícího příkazu nastavte spustitelný skript Bash:

   sudo chmod u+x BM_test.sh
   

4. Spusťte skript Bash:

   sudo bash BM_test.sh
   

   Výsledek by měl vypadat takto:

   zsh: killed sudo bash BM_test.sh

   Defender for Endpoint v macOS soubor umístí do karantény. Pomocí následujícího příkazu vypíšete seznam všech zjištěných hrozeb:

   mdatp threat list
   

   Ve výsledku se zobrazí podobné informace:

   ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   
   Name: Behavior: MacOS/MacOSChangeFileTest
   
   Type: "behavior"
   
   Detection time: Tue May 7 20:23:41 2024
   
   Status: "quarantined"
   

Pokud máte Microsoft Defender for Endpoint P2/P1 nebo Microsoft Defender pro firmy, přejděte na portál Microsoft Defender a zobrazí se upozornění s názvem Podezřelé chování MacOSChangeFileTest bylo zablokováno.