Toiminnan seurannan esittely

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defenderin virustentorjunta
• Microsoft Defender yksityishenkilöille

Toiminnan valvonta Microsoft Defender virustentorjunta valvoo prosessin toimintaa tunnistaakseen ja analysoidakseen mahdollisia uhkia sovellusten, palveluiden ja tiedostojen käyttäytymisen perusteella. Sen sijaan, että luottaisit pelkästään sisällön vastaavuuksien hakuun, joka tunnistaa tunnetut haittaohjelmamallit, käyttäytymisvalvonta keskittyy tarkkailemaan, miten ohjelmisto käyttäytyy reaaliaikaisesti.

Skenaariovaatimukset ja määritys

• Windows 11, Windows 10, Windows 8.1, Windows 7 SP1

• Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 ja Windows Server 2008 R2

• macOS

• Microsoft Defender Reaaliaikainen suojaus on käytössä

• Toiminnan valvonta on käytössä

Windows

Varmista Microsoft Defender reaaliaikainen suojaus on käytössä

Jos haluat varmistaa, että reaaliaikainen suojaus on käytössä, avaa PowerShell järjestelmänvalvojana ja suorita sitten seuraava komento:

get-mpComputerStatus |ft RealTimeProtectionEnabled

Kun reaaliaikainen suojaus on käytössä, tulos näyttää arvon True.

Ota Microsoft Defender for Endpoint käyttöön toiminnan valvonta

Lisätietoja siitä, miten voit ottaa käyttöön toiminnan seurannan Defender for Endpointissa, on ohjeaiheessa Toiminnan valvonta käyttöön ottamiseksi.

Toiminnan valvonnan esittely Windowsissa ja Windows Serverissä

Jos haluat osoittaa, miten toiminnan valvonta estää hyötykuorman, suorita seuraava PowerShell-komento:

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

Tuloste sisältää odotetun virheen:

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

Microsoft Defender-portaalin toimintokeskuksessa pitäisi näkyä seuraavat tiedot:

• Windowsin suojaus
• Löydettyjä uhkia
• Microsoft Defender virustentorjunta löysi uhkia. Hanki lisätietoja.
• Erottaa

Jos valitset linkin, Windowsin suojaus-sovelluksesi avautuu. Valitse Suojaushistoria.

Sinun pitäisi nähdä seuraavankaltaiset tiedot:

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more	Actions

Microsoft Defender portaalissa pitäisi näkyä seuraavan kaltaisia tietoja:

Suspicious 'BmTestOfflineUI' behavior was blocked

Kun valitset sen, näet ilmoituspuun, jossa on seuraavat tiedot:

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

Varmista Microsoft Defender reaaliaikainen suojaus on käytössä

Jos haluat varmistaa, että reaaliaikainen suojaus (RTP) on käytössä, avaa pääteikkuna ja kopioi ja suorita seuraava komento:

mdatp health --field real_time_protection_enabled

Kun RTP on käytössä, tulos näyttää arvon 1.

Ota Microsoft Defender for Endpoint käyttöön toiminnan valvonta

Lisätietoja siitä, miten voit ottaa käyttöön toiminnan seurannan Defender for Endpointissa, on artikkelissa Käyttöönotto-ohjeet.

Toiminnan seurannan toiminnan esittely

Jos haluat osoittaa, miten toiminnan valvonta estää hyötykuorman:

1. Luo bash-komentosarja käyttämällä komentosarjaa/tekstieditoria, kuten nanoa tai Visual Studio Codea (VS Code):

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Tallenna nimellä BM_test.sh.

3. Suorita seuraava komento, jos haluat tehdä bash-komentosarjasta suoritettavan:

   sudo chmod u+x BM_test.sh
   

4. Suorita bash-komentosarja:

   sudo bash BM_test.sh
   

   Tuloksen pitäisi näyttää tältä

   zsh: killed sudo bash BM_test.sh

   Defender on asettanut tiedoston karanteeniin macOS:n päätepisteelle. Luettele kaikki havaitut uhat seuraavan komennon avulla:

   mdatp threat list
   

   Tulos näyttää seuraavan kaltaisia tietoja:

   ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   
   Name: Behavior: MacOS/MacOSChangeFileTest
   
   Type: "behavior"
   
   Detection time: Tue May 7 20:23:41 2024
   
   Status: "quarantined"
   

Jos sinulla on Microsoft Defender for Endpoint P2/P1 tai Microsoft Defender for Business, siirry Microsoft Defender-portaaliin ja näet ilmoituksen nimeltä Epäilyttävä MacOSChangeFileTest-toiminta estetty.