Overvåking av virkemåte i Microsoft Defender Antivirus
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender for Business
- Microsoft Defender for enkeltpersoner
- Microsoft Defender Antivirus
Overvåking av virkemåte er en kritisk gjenkjennings- og beskyttelsesfunksjonalitet for Microsoft Defender Antivirus.
Overvåker prosessatferd for å oppdage og analysere potensielle trusler basert på virkemåten til programmer, tjenester og filer. I stedet for å stole utelukkende på signaturbasert gjenkjenning (som identifiserer kjente mønstre for skadelig programvare), fokuserer atferdsovervåking på å observere hvordan programvaren oppfører seg i sanntid. Dette innebærer det:
Real-Time trusselregistrering:
- Se kontinuerlig på prosesser, filsystemaktiviteter og samhandlinger i systemet.
- Defender Antivirus kan identifisere mønstre knyttet til skadelig programvare eller andre trusler. Den ser for eksempel etter prosesser som gjør uvanlige endringer i eksisterende filer, endrer eller oppretter automatiske oppstartsnøkler (ASEP) og andre endringer i filsystemet eller strukturen.
Dynamisk tilnærming:
I motsetning til statisk, signaturbasert gjenkjenning tilpasser atferdsovervåking seg til nye og utviklende trusler.
Microsoft Defender Antivirus bruker forhåndsdefinerte mønstre, og observerer hvordan programvaren oppfører seg under kjøring. For skadelig programvare som ikke passer til et forhåndsdefinert mønster, bruker Microsoft Defender Antivirus avviksregistrering.
Hvis et program viser mistenkelig virkemåte (for eksempel forsøk på å endre kritiske systemfiler), kan Microsoft Defender Antivirus iverksette tiltak for å forhindre ytterligere skade, og gjenopprette noen tidligere handlinger for skadelig programvare.
Overvåking av virkemåte forbedrer Defender Antiviruss evne til proaktivt å oppdage nye trusler ved å fokusere på handlinger og virkemåter i sanntid i stedet for å stole utelukkende på kjente signaturer.
Følgende funksjoner avhenger av overvåking av virkemåte.
Skadelig programvare:
- Indikatorer, fil-hash, tillat/blokk
Nettverksbeskyttelse:
- Indikatorer, IP-adresse/NETTADRESSE, tillat/blokk
- Filtrering av nettinnhold, tillat/blokk
Obs!
Overvåking av virkemåte er beskyttet av manipuleringsbeskyttelse.
Hvis du vil deaktivere virkemåteovervåking midlertidig for å fjerne det fra bildet, må du først aktivere feilsøkingsmodus, deaktivere Manipuleringsbeskyttelse og deretter deaktivere overvåking av virkemåte.
Endre policyen for overvåking av virkemåte
Tabellen nedenfor viser de ulike måtene å konfigurere virkemåteovervåking på.
| Administrasjonsverktøy | Navn | Koblinger |
|---|---|---|
| Behandling av sikkerhetsinnstillinger | Tillat overvåking av virkemåte | Denne artikkelen |
| Intune | Tillat overvåking av virkemåte | Policyinnstillinger for Windows Antivirus for Microsoft Defender Antivirus for Intune |
| CSP | AllowBehaviorMonitoring | Defender Policy CSP |
| Configuration Manager tenantvedlegg | Aktiver overvåking av virkemåte | Innstillinger for Windows Antivirus-policy fra Microsoft Defender Antivirus for tenanttilknyttede enheter |
| Gruppepolicy | Aktiver overvåking av virkemåte | Last ned gruppepolicy Referanseregneark for innstillinger for Windows 11 2023-oppdatering (23H2) |
| PowerShell | Set-Preference -DisableBehaviorMonitoring | Set-MpPreference |
| WMI | boolean DisableBehaviorMonitoring; | MSFT_MpPreference klasse |
Hvis du bruker Microsoft Defender for bedrifter, kan du se Se gjennom eller redigere neste generasjons beskyttelsespolicyer i Microsoft Defender for bedrifter.
Endre innstillingene for virkemåteovervåking ved hjelp av PowerShell
Bruk følgende kommando til å endre innstillingene for virkemåteovervåking:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
-
Truedeaktiverer overvåking av virkemåte. -
Falseaktiverer overvåking av virkemåte.
Hvis du vil ha mer informasjon, kan du se Set-MpPreference.
Spør statusen for virkemåteovervåking fra PowerShell
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
Hvis verdien som returneres, er truevirkemåteovervåking aktivert.
Spør statusen for virkemåteovervåking ved hjelp av Avansert jakt
Du kan bruke Avansert jakt (AH) til å spørre statusen for overvåking av virkemåte.
Krever Microsoft Defender XDR, Microsoft Defender for endepunkt plan 2 eller Microsoft Defender for bedrifter.
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
Feilsøke høy prosessorbruk
Gjenkjenninger relatert til virkemåteovervåking starter med «Virkemåte».
Når du undersøker høy prosessorbruk i MsMpEng.exe, kan du midlertidig deaktivere overvåking av virkemåte for å se om problemene fortsetter.
Du kan bruke ytelsesanalyse for Microsoft Defender Antivirus til å finne \path\process, process og/eller filtyper som bidrar til den høye cpu-bruken. Deretter kan du legge til disse elementene i kontekstavhengig utelukkelse.
Hvis du vil ha mer informasjon, kan du se Ytelsesanalyse for Microsoft Defender Antivirus.
Hvis du ser høy prosessorbruk forårsaket av overvåking av virkemåte, kan du fortsette å feilsøke problemet ved å gjenopprette hvert av følgende elementer i rekkefølge. Aktiver overvåking av virkemåte på nytt etter å ha gjenopprettet hvert element for å identifisere hvor problemet kan være.
- plattformoppdatering
- motoroppdatering
- oppdatering av sikkerhetsintelligens.
Hvis det fortsatt oppstår problemer med høy CPU-bruk, kan du kontakte Microsoft Kundestøtte og ha klientanalysedataene klare.
Hvis overvåking av virkemåte ikke forårsaker problemet, kan du bruke Ytelsesanalyse for Microsoft Defender Antivirus til å samle inn logginformasjon. Samle inn to forskjellige logger ved hjelp av a -c og a -a. Gjør denne informasjonen klar når du kontakter Microsoft Kundestøtte.
Hvis du vil ha mer informasjon, kan du se Datainnsamling for avansert feilsøking i Windows.