Klientatferdsblokkering
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Plattform
- Windows
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Oversikt
Klientatferdsblokkering er en komponent i virkemåteblokkering og inneslutningsfunksjoner i Defender for endepunkt. Ettersom mistenkelig atferd oppdages på enheter (også kalt klienter eller endepunkter), blokkeres artefakter (for eksempel filer eller programmer), kontrolleres og utbedres automatisk.
Antivirusbeskyttelse fungerer best når den er sammenkoblet med skybeskyttelse.
Slik fungerer klientatferdsblokkering
Microsoft Defender Antivirus kan oppdage mistenkelig atferd, skadelig kode, filløse angrep og minneangrep og mer på en enhet. Når mistenkelig atferd oppdages, Microsoft Defender antivirusskjermer og sender disse mistenkelige atferdene og prosesstrærne til skybeskyttelsestjenesten. Maskinlæring skiller mellom skadelige programmer og god oppførsel innen millisekunder, og klassifiserer hver artefakt. I nesten sanntid, så snart en artefakt er funnet å være skadelig, er den blokkert på enheten.
Når en mistenkelig oppførsel oppdages, genereres et varsel og er synlig mens angrepet ble oppdaget og stoppet. varsler, for eksempel et «innledende tilgangsvarsel», utløses og vises i Microsoft Defender-portalen.
Klientatferdsblokkering er effektiv fordi det ikke bare bidrar til å forhindre at et angrep starter, det kan bidra til å stoppe et angrep som har begynt å utføre. Og med blokkering av tilbakemeldingssløyfer (en annen funksjon for atferdsblokkering og innesperring) forhindres angrep på andre enheter i organisasjonen.
Virkemåtebaserte gjenkjenninger
Virkemåtebaserte gjenkjenninger navngis i henhold til MITRE ATT-&CK-matrise for enterprise. Navnekonvensjonen bidrar til å identifisere angrepsfasen der den ondsinnede oppførselen ble observert:
| Taktikk | Gjenkjenningstrusselnavn |
|---|---|
| Første tilgang | Behavior:Win32/InitialAccess.*!ml |
| Henrettelse | Behavior:Win32/Execution.*!ml |
| Persistens | Behavior:Win32/Persistence.*!ml |
| Videresending av rettigheter | Behavior:Win32/PrivilegeEscalation.*!ml |
| Forsvarsunndragelse | Behavior:Win32/DefenseEvasion.*!ml |
| Legitimasjonstilgang | Behavior:Win32/CredentialAccess.*!ml |
| Oppdagelse | Behavior:Win32/Discovery.*!ml |
| Sidebevegelse | Behavior:Win32/LateralMovement.*!ml |
| Samling | Behavior:Win32/Collection.*!ml |
| Kommando og kontroll | Behavior:Win32/CommandAndControl.*!ml |
| Eksfiltrering | Behavior:Win32/Exfiltration.*!ml |
| Innvirkning | Behavior:Win32/Impact.*!ml |
| Uncategorized | Behavior:Win32/Generic.*!ml |
Tips
Hvis du vil lære mer om spesifikke trusler, kan du se nylig global trusselaktivitet.
Konfigurere klientatferdsblokkering
Hvis organisasjonen bruker Defender for endepunkt, aktiveres klientatferdsblokkering som standard. For å dra nytte av alle Defender for Endpoint-funksjoner, inkludert atferdsblokkering og begrensning, må du imidlertid sørge for at følgende funksjoner og funksjoner i Defender for Endpoint er aktivert og konfigurert:
- Grunnlinjer for Defender for endepunkt
- Enheter som er koblet til Defender for endepunkt
- EDR i blokkmodus
- Reduksjon av angrepsoverflaten
- Neste generasjons beskyttelse (antivirus, beskyttelse mot skadelig programvare og andre funksjoner for trusselbeskyttelse)
Tips
Hvis du leter etter antivirusrelatert informasjon for andre plattformer, kan du se:
- Angi innstillinger for Microsoft Defender for endepunkt på macOS
- Microsoft Defender for endepunkt på Mac
- Innstillinger for macOS-antiviruspolicy for Microsoft Defender Antivirus for Intune
- Angi innstillinger for Microsoft Defender for endepunkt på Linux
- Microsoft Defender for endepunkt på Linux
- Konfigurer Defender for endepunkt på Android-funksjoner
- Konfigurer Microsoft Defender for endepunkt for iOS-funksjoner
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.