Verhaltensüberwachungsdemonstration

Gilt für:

• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender für Unternehmen
• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender Antivirus
• Microsoft Defender für Einzelpersonen

Die Verhaltensüberwachung in Microsoft Defender Antivirus überwacht das Prozessverhalten, um potenzielle Bedrohungen basierend auf dem Verhalten von Anwendungen, Diensten und Dateien zu erkennen und zu analysieren. Anstatt sich ausschließlich auf den Inhaltsabgleich zu verlassen, der bekannte Schadsoftwaremuster identifiziert, konzentriert sich die Verhaltensüberwachung darauf, zu beobachten, wie sich Software in Echtzeit verhält.

Szenarioanforderungen und Einrichtung

• Windows 11, Windows 10, Windows 8.1, Windows 7 SP1

• Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 und Windows Server 2008 R2

• macOS

• Microsoft Defender Echtzeitschutz ist aktiviert

• Die Verhaltensüberwachung ist aktiviert.

Windows

Überprüfen Microsoft Defender Echtzeitschutz aktiviert ist

Um zu überprüfen, ob der Echtzeitschutz aktiviert ist, öffnen Sie PowerShell als Administrator, und führen Sie dann den folgenden Befehl aus:

get-mpComputerStatus |ft RealTimeProtectionEnabled

Wenn der Echtzeitschutz aktiviert ist, zeigt das Ergebnis den Wert an True.

Aktivieren der Verhaltensüberwachung für Microsoft Defender for Endpoint

Weitere Informationen zum Aktivieren der Verhaltensüberwachung für Defender für Endpunkt finden Sie unter Aktivieren der Verhaltensüberwachung.

Demonstration der Funktionsweise der Verhaltensüberwachung in Windows und Windows Server

Führen Sie den folgenden PowerShell-Befehl aus, um zu veranschaulichen, wie die Verhaltensüberwachung eine Nutzlast blockiert:

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

Die Ausgabe enthält einen erwarteten Fehler wie folgt:

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

Im Microsoft Defender-Portal im Info-Center sollten die folgenden Informationen angezeigt werden:

• Windows-Sicherheit
• Bedrohungen gefunden
• Microsoft Defender Antivirus hat Bedrohungen gefunden. Rufen Sie Details ab.
• Schließen

Wenn Sie den Link auswählen, wird Ihre Windows-Sicherheit-App geöffnet. Wählen Sie Schutzverlauf aus.

Es sollten Informationen angezeigt werden, die der folgenden Ausgabe ähneln:

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more    Actions

Im Microsoft Defender-Portal sollten Informationen wie die folgenden angezeigt werden:

Suspicious 'BmTestOfflineUI' behavior was blocked

Wenn Sie ihn auswählen, wird die Warnungsstruktur mit den folgenden Informationen angezeigt:

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

Überprüfen Microsoft Defender Echtzeitschutz aktiviert ist

Um zu überprüfen, ob der Echtzeitschutz (Real-Time Protection, RTP) aktiviert ist, öffnen Sie ein Terminalfenster, kopieren Und führen Sie den folgenden Befehl aus:

mdatp health --field real_time_protection_enabled

Wenn RTP aktiviert ist, zeigt das Ergebnis den Wert 1 an.

Aktivieren der Verhaltensüberwachung für Microsoft Defender for Endpoint

Weitere Informationen zum Aktivieren der Verhaltensüberwachung für Defender für Endpunkt finden Sie unter Bereitstellungsanweisungen für die Verhaltensüberwachung.

Demonstration der Funktionsweise der Verhaltensüberwachung

So veranschaulichen Sie, wie die Verhaltensüberwachung eine Nutzlast blockiert:

1. Erstellen Sie ein Bash-Skript mit einem Skript-/Text-Editor wie nano oder Visual Studio Code (VS Code):

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Speichern Sie als BM_test.sh.

3. Führen Sie den folgenden Befehl aus, um das Bash-Skript ausführbar zu machen:

   sudo chmod u+x BM_test.sh
   

4. Führen Sie das Bash-Skript aus:

   sudo bash BM_test.sh
   

   Das Ergebnis sollte wie folgt aussehen:

   zsh: killed sudo bash BM_test.sh

   Die Datei wird von Defender für Endpunkt unter macOS unter Quarantäne gesetzt. Verwenden Sie den folgenden Befehl, um alle entdeckten Bedrohungen aufzulisten:

   mdatp threat list
   

   Das Ergebnis zeigt Informationen wie die folgende:

   ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   
   Name: Behavior: MacOS/MacOSChangeFileTest
   
   Type: "behavior"
   
   Detection time: Tue May 7 20:23:41 2024
   
   Status: "quarantined"
   

Wenn Sie Microsoft Defender for Endpoint P2/P1 oder Microsoft Defender for Business haben, wechseln Sie zum Microsoft Defender-Portal, und Es wird eine Warnung mit dem Titel Verdächtiges Verhalten "macOSChangeFileTest" wurde blockiert angezeigt.