다음을 통해 공유

동작 모니터링 데모

  • 아티클

적용 대상:

Microsoft Defender 바이러스 백신의 동작 모니터링은 프로세스 동작을 모니터링하여 애플리케이션, 서비스 및 파일의 동작에 따라 잠재적인 위협을 감지하고 분석합니다. 동작 모니터링은 알려진 맬웨어 패턴을 식별하는 콘텐츠 일치에만 의존하는 대신 소프트웨어가 실시간으로 작동하는 방식을 관찰하는 데 중점을 둡니다.

시나리오 요구 사항 및 설정

Windows

실시간 보호가 활성화되었는지 Microsoft Defender 확인

실시간 보호가 사용하도록 설정되어 있는지 확인하려면 관리자 권한으로 PowerShell을 열고 다음 명령을 실행합니다.

get-mpComputerStatus |ft RealTimeProtectionEnabled

실시간 보호를 사용하도록 설정하면 결과에 값 True이 표시됩니다.

엔드포인트용 Microsoft Defender 동작 모니터링 사용

엔드포인트용 Defender에 대한 동작 모니터링을 사용하도록 설정하는 방법에 대한 자세한 내용은 동작 모니터링을 사용하도록 설정하는 방법을 참조하세요.

Windows 및 Windows Server 동작 모니터링의 작동 방식 데모

동작 모니터링이 페이로드를 차단하는 방법을 보여 주려면 다음 PowerShell 명령을 실행합니다.

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

출력에는 다음과 같은 예상 오류가 포함됩니다.

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

Microsoft Defender 포털의 알림 센터에 다음 정보가 표시됩니다.

  • Windows 보안
  • 위협 발견
  • Microsoft Defender 바이러스 백신이 위협을 발견했습니다. 세부 정보를 가져옵니다.
  • 해고하다

링크를 선택하면 Windows 보안 앱이 열립니다. 보호 기록을 선택합니다.

다음 출력과 유사한 정보가 표시됩니다.

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more    Actions

Microsoft Defender 포털에는 다음과 같은 정보가 표시됩니다.

Suspicious 'BmTestOfflineUI' behavior was blocked

이 트리를 선택하면 다음 정보가 포함된 경고 트리가 표시됩니다.

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

실시간 보호가 사용하도록 설정되었는지 Microsoft Defender 확인

RTP(실시간 보호)가 사용하도록 설정되어 있는지 확인하려면 터미널 창을 열고 다음 명령을 복사하여 실행합니다.

mdatp health --field real_time_protection_enabled

RTP를 사용하도록 설정하면 결과에 값이 1로 표시됩니다.

엔드포인트용 Microsoft Defender 동작 모니터링 사용

엔드포인트용 Defender에 대한 동작 모니터링을 사용하도록 설정하는 방법에 대한 자세한 내용은 동작 모니터링 에 대한 배포 지침을 참조하세요.

동작 모니터링 작동 방식 데모

동작 모니터링이 페이로드를 차단하는 방법을 보여 주려면 다음을 수행합니다.

  1. nano 또는 Visual Studio Code(VS Code)와 같은 스크립트/텍스트 편집기를 사용하여 bash 스크립트를 만듭니다.

    #! /usr/bin/bash
echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
sleep 5

  2. 으로 BM_test.sh저장합니다.

  3. 다음 명령을 실행하여 bash 스크립트를 실행 가능하게 만듭니다.

    sudo chmod u+x BM_test.sh

  4. bash 스크립트를 실행합니다.

    sudo bash BM_test.sh

    결과는 다음과 같아야 합니다.

    zsh: killed sudo bash BM_test.sh

    파일은 macOS의 엔드포인트용 Defender에 의해 격리됩니다. 다음 명령을 사용하여 검색된 모든 위협을 나열합니다.

    mdatp threat list

    결과에는 다음과 같은 정보가 표시됩니다.

    ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Name: Behavior: MacOS/MacOSChangeFileTest

Type: "behavior"

Detection time: Tue May 7 20:23:41 2024

Status: "quarantined"

P2/P1 또는 비즈니스용 Microsoft Defender 엔드포인트용 Microsoft Defender 경우 Microsoft Defender 포털로 이동하여 의심스러운 'MacOSChangeFileTest' 동작이 차단되었다는 경고가 표시됩니다.