Del via

Demonstration af adfærdsovervågning

  • Artikel

Gælder for:

Overvågning af funktionsmåde i Microsoft Defender Antivirus overvåger procesfunktionsmåden for at registrere og analysere potentielle trusler baseret på funktionsmåden af programmer, tjenester og filer. I stedet for udelukkende at være afhængig af matchning af indhold, som identificerer kendte malwaremønstre, fokuserer overvågning af adfærd på at observere, hvordan software fungerer i realtid.

Scenariekrav og konfiguration

Windows

Bekræft Microsoft Defender beskyttelse i realtid er aktiveret

Hvis du vil bekræfte, at beskyttelse i realtid er aktiveret, skal du åbne PowerShell som administrator og derefter køre følgende kommando:

get-mpComputerStatus |ft RealTimeProtectionEnabled

Når beskyttelse i realtid er aktiveret, viser resultatet værdien .True

Aktivér overvågning af funktionsmåde for Microsoft Defender for Endpoint

Du kan finde flere oplysninger om, hvordan du aktiverer overvågning af funktionsmåde for Defender for Endpoint, under Sådan aktiverer du overvågning af funktionsmåde.

Demonstration af, hvordan adfærdsovervågning fungerer i Windows og Windows Server

Kør følgende PowerShell-kommando for at demonstrere, hvordan overvågning af funktionsmåde blokerer en nyttedata:

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

Outputtet indeholder en forventet fejl på følgende måde:

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

På Microsoft Defender-portalen i Løsningscenter kan du se følgende oplysninger:

  • Windows Sikkerhed
  • Der blev fundet trusler
  • Microsoft Defender Antivirus fandt trusler. Hent detaljer.
  • Afskedige

Hvis du vælger linket, åbnes din Windows Sikkerhed app. Vælg Beskyttelsesoversigt.

Du får vist oplysninger, der ligner følgende output:

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more    Actions

Microsoft Defender-portalen kan du se følgende oplysninger:

Suspicious 'BmTestOfflineUI' behavior was blocked

Når du vælger den, får du vist beskedtræet, der indeholder følgende oplysninger:

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

Kontrollér Microsoft Defender beskyttelse i realtid er aktiveret

Hvis du vil kontrollere, at beskyttelse i realtid (RTP) er aktiveret, skal du åbne et terminalvindue og kopiere og udføre følgende kommando:

mdatp health --field real_time_protection_enabled

Når RTP er aktiveret, viser resultatet en værdi på 1.

Aktivér overvågning af funktionsmåde for Microsoft Defender for Endpoint

Du kan finde flere oplysninger om, hvordan du aktiverer overvågning af funktionsmåde for Defender for Endpoint, under Installationsinstruktioner til overvågning af funktionsmåde.

Demonstration af, hvordan overvågning af funktionsmåde fungerer

Sådan demonstrerer du, hvordan overvågning af funktionsmåde blokerer en nyttedata:

  1. Opret et bashscript ved hjælp af et script/en teksteditor, f.eks. nano eller Visual Studio Code (VS Code):

    #! /usr/bin/bash
echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
sleep 5

  2. Gem som BM_test.sh.

  3. Kør følgende kommando for at gøre bashscriptet eksekverbart:

    sudo chmod u+x BM_test.sh

  4. Kør bashscriptet:

    sudo bash BM_test.sh

    Resultatet skal se sådan ud

    zsh: killed sudo bash BM_test.sh

    Filen er sat i karantæne af Defender for Endpoint på macOS. Brug følgende kommando til at få vist alle registrerede trusler:

    mdatp threat list

    Resultatet viser oplysninger som disse:

    ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Name: Behavior: MacOS/MacOSChangeFileTest

Type: "behavior"

Detection time: Tue May 7 20:23:41 2024

Status: "quarantined"

Hvis du har Microsoft Defender for Endpoint P2/P1 eller Microsoft Defender til virksomheder, skal du gå til Microsoft Defender-portalen, hvor du kan se en besked med titlen Mistænkelig funktionsmåden 'MacOSChangeFileTest'.