Demonstrasjon av virkemåteovervåking

Gjelder for:

• Microsoft Defender for endepunkt plan 2
• Microsoft Defender for Business
• Microsoft Defender for endepunkt plan 1
• Microsoft Defender Antivirus
• Microsoft Defender for enkeltpersoner

Virkemåteovervåking i Microsoft Defender Antivirus overvåker prosessatferd for å oppdage og analysere potensielle trusler basert på virkemåten til programmer, tjenester og filer. I stedet for å stole utelukkende på innholdssamsvar, som identifiserer kjente mønstre for skadelig programvare, fokuserer atferdsovervåking på å observere hvordan programvaren oppfører seg i sanntid.

Scenariokrav og oppsett

• Windows 11, Windows 10, Windows 8.1, Windows 7 SP1

• Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 og Windows Server 2008 R2

• macOS

• Microsoft Defender sanntidsbeskyttelse er aktivert

• Virkemåteovervåking er aktivert

Windows

Kontroller Microsoft Defender sanntidsbeskyttelse er aktivert

Hvis du vil bekrefte at sanntidsbeskyttelse er aktivert, åpner du PowerShell som administrator og kjører deretter følgende kommando:

get-mpComputerStatus |ft RealTimeProtectionEnabled

Når sanntidsbeskyttelse er aktivert, viser resultatet verdien av True.

Aktiver virkemåteovervåking for Microsoft Defender for endepunkt

Hvis du vil ha mer informasjon om hvordan du aktiverer virkemåteovervåking for Defender for endepunkt, kan du se hvordan du aktiverer virkemåteovervåking.

Demonstrasjon av hvordan virkemåteovervåking fungerer i Windows og Windows Server

Kjør følgende PowerShell-kommando for å demonstrere hvordan virkemåteovervåking blokkerer en nyttelast:

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

Utdataene inneholder en forventet feil på følgende måte:

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

I handlingssenteret i Microsoft Defender-portalen skal du se følgende informasjon:

• Windows Sikkerhet
• Trusler funnet
• Microsoft Defender Antivirus fant trusler. Få detaljer.
• Avskjedige

Hvis du velger koblingen, åpnes Windows Sikkerhet-appen. Velg beskyttelseslogg.

Du skal kunne se informasjon som ligner på følgende utdata:

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more    Actions

I Microsoft Defender-portalen skal du se informasjon som dette:

Suspicious 'BmTestOfflineUI' behavior was blocked

Når du velger det, ser du varseltreet som har følgende informasjon:

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

Kontroller Microsoft Defender sanntidsbeskyttelse er aktivert

Hvis du vil bekrefte at sanntidsbeskyttelse (RTP) er aktivert, åpner du et terminalvindu og kopierer og utfører følgende kommando:

mdatp health --field real_time_protection_enabled

Når RTP er aktivert, viser resultatet en verdi på 1.

Aktiver virkemåteovervåking for Microsoft Defender for endepunkt

Hvis du vil ha mer informasjon om hvordan du aktiverer virkemåteovervåking for Defender for Endpoint, kan du se Distribusjonsinstruksjoner for atferdsovervåking.

Demonstrasjon av hvordan virkemåteovervåking fungerer

Slik demonstrerer du hvordan virkemåteovervåking blokkerer en nyttelast:

1. Opprett et bash-skript ved hjelp av et skript/tekstredigeringsprogram, for eksempel nano eller Visual Studio Code (VS Code):

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Lagre som BM_test.sh.

3. Kjør følgende kommando for å gjøre bash-skriptet kjørbart:

   sudo chmod u+x BM_test.sh
   

4. Kjør bash-skriptet:

   sudo bash BM_test.sh
   

   Resultatet skal se slik ut

   zsh: killed sudo bash BM_test.sh

   Filen er satt i karantene av Defender for Endpoint på macOS. Bruk følgende kommando til å liste opp alle oppdagede trusler:

   mdatp threat list
   

   Resultatet viser informasjon som dette:

   ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   
   Name: Behavior: MacOS/MacOSChangeFileTest
   
   Type: "behavior"
   
   Detection time: Tue May 7 20:23:41 2024
   
   Status: "quarantined"
   

Hvis du har Microsoft Defender for endepunkt P2/P1 eller Microsoft Defender for bedrifter, går du til Microsoft Defender-portalen, og du ser et varsel med tittelen Mistenkelig virkemåte for MacOSChangeFileTest ble blokkert.