Demonstratie gedragscontrole

Van toepassing op:

• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender voor Bedrijven
• Plan 1 voor Microsoft Defender voor Eindpunt
• Microsoft Defender Antivirus
• Microsoft Defender voor individuen

Gedragscontrole in Microsoft Defender Antivirus bewaakt procesgedrag om potentiële bedreigingen te detecteren en te analyseren op basis van het gedrag van toepassingen, services en bestanden. In plaats van alleen te vertrouwen op inhoudskoppeling, waarmee bekende malwarepatronen worden geïdentificeerd, richt de bewaking van gedrag zich op het observeren van hoe software zich in realtime gedraagt.

Scenariovereisten en installatie

• Windows 11, Windows 10, Windows 8.1, Windows 7 SP1

• Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 en Windows Server 2008 R2

• macOS

• Microsoft Defender Realtime-beveiliging is ingeschakeld

• Gedragscontrole is ingeschakeld

Windows

Controleer Microsoft Defender realtime-beveiliging is ingeschakeld

Als u wilt controleren of realtime-beveiliging is ingeschakeld, opent u PowerShell als beheerder en voert u de volgende opdracht uit:

get-mpComputerStatus |ft RealTimeProtectionEnabled

Wanneer realtime-beveiliging is ingeschakeld, wordt in het resultaat de waarde weergegeven van True.

Gedragscontrole inschakelen voor Microsoft Defender voor Eindpunt

Zie Gedragscontrole inschakelen voor meer informatie over het inschakelen van gedragscontrole voor Defender voor Eindpunt.

Demonstratie van hoe gedragscontrole werkt in Windows en Windows Server

Voer de volgende PowerShell-opdracht uit om te laten zien hoe gedragscontrole een nettolading blokkeert:

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

De uitvoer bevat een verwachte fout als volgt:

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

In de Microsoft Defender portal in het Actiecentrum ziet u de volgende informatie:

• Windows-beveiliging
• Bedreigingen gevonden
• Microsoft Defender Antivirus bedreigingen gevonden. Meer informatie.
• Ontslaan

Als u de koppeling selecteert, wordt uw Windows-beveiliging-app geopend. Selecteer Beveiligingsgeschiedenis.

U ziet informatie die lijkt op de volgende uitvoer:

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more    Actions

In de Microsoft Defender-portal ziet u informatie als volgt:

Suspicious 'BmTestOfflineUI' behavior was blocked

Wanneer u deze selecteert, ziet u de waarschuwingsstructuur met de volgende informatie:

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

Controleer Microsoft Defender realtime-beveiliging is ingeschakeld

Als u wilt controleren of realtime-beveiliging (RTP) is ingeschakeld, opent u een terminalvenster en kopieert en voert u de volgende opdracht uit:

mdatp health --field real_time_protection_enabled

Wanneer RTP is ingeschakeld, wordt in het resultaat de waarde 1 weergegeven.

Gedragscontrole inschakelen voor Microsoft Defender voor Eindpunt

Zie Implementatie-instructies voor gedragscontrole voor meer informatie over het inschakelen van gedragsbewaking voor Defender voor Eindpunt.

Demonstratie van hoe gedragscontrole werkt

Ga als volgt te werk om te laten zien hoe gedragscontrole een nettolading blokkeert:

1. Maak een bash-script met behulp van een script-/teksteditor, zoals nano of Visual Studio Code (VS Code):

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Opslaan als BM_test.sh.

3. Voer de volgende opdracht uit om het bash-script uitvoerbaar te maken:

   sudo chmod u+x BM_test.sh
   

4. Voer het bash-script uit:

   sudo bash BM_test.sh
   

   Het resultaat moet er als volgt uitzien

   zsh: killed sudo bash BM_test.sh

   Het bestand wordt in quarantaine geplaatst door Defender voor Eindpunt in macOS. Gebruik de volgende opdracht om alle gedetecteerde bedreigingen weer te geven:

   mdatp threat list
   

   In het resultaat ziet u informatie als volgt:

   ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   
   Name: Behavior: MacOS/MacOSChangeFileTest
   
   Type: "behavior"
   
   Detection time: Tue May 7 20:23:41 2024
   
   Status: "quarantined"
   

Als u Microsoft Defender voor Eindpunt P2/P1 of Microsoft Defender voor Bedrijven hebt, gaat u naar de Microsoft Defender-portal en ziet u een waarschuwing met de titel Verdacht gedrag 'MacOSChangeFileTest' is geblokkeerd.