Pokaz monitorowania zachowania

Dotyczy:

• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
• Microsoft Defender dla Firm
• Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
• Program antywirusowy Microsoft Defender
• Microsoft Defender dla użytkowników indywidualnych

Monitorowanie zachowania w programie antywirusowym Microsoft Defender monitoruje zachowanie procesów w celu wykrywania i analizowania potencjalnych zagrożeń na podstawie zachowania aplikacji, usług i plików. Zamiast polegać wyłącznie na dopasowywaniu zawartości, które identyfikuje znane wzorce złośliwego oprogramowania, monitorowanie zachowania koncentruje się na obserwowaniu zachowania oprogramowania w czasie rzeczywistym.

Wymagania i konfiguracja scenariusza

• Windows 11, Windows 10, Windows 8.1, Windows 7 z dodatkiem SP1

• Windows Server 2022 r., Windows Server 2019 r., Windows Server 2016, Windows Server 2012 i Windows Server 2008 R2

• macOS

• Microsoft Defender włączono ochronę w czasie rzeczywistym

• Monitorowanie zachowania jest włączone

System Windows

Sprawdź, Microsoft Defender włączono ochronę w czasie rzeczywistym

Aby sprawdzić, czy ochrona w czasie rzeczywistym jest włączona, otwórz program PowerShell jako administrator, a następnie uruchom następujące polecenie:

get-mpComputerStatus |ft RealTimeProtectionEnabled

Po włączeniu ochrony w czasie rzeczywistym wynik pokazuje wartość True.

Włączanie monitorowania zachowania dla Ochrona punktu końcowego w usłudze Microsoft Defender

Aby uzyskać więcej informacji na temat włączania monitorowania zachowania dla usługi Defender dla punktu końcowego, zobacz jak włączyć monitorowanie zachowania.

Demonstracja działania monitorowania zachowania w systemie Windows i Windows Server

Aby zademonstrować, jak monitorowanie zachowania blokuje ładunek, uruchom następujące polecenie programu PowerShell:

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

Dane wyjściowe zawierają oczekiwany błąd w następujący sposób:

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

W portalu Microsoft Defender w Centrum akcji powinny zostać wyświetlone następujące informacje:

• Zabezpieczenia Windows
• Znaleziono zagrożenia
• Microsoft Defender program antywirusowy wykrył zagrożenia. Uzyskaj szczegółowe informacje.
• Zwolnić

Jeśli wybierzesz link, zostanie otwarta aplikacja Zabezpieczenia Windows. Wybierz pozycję Historia ochrony.

Powinny zostać wyświetlone informacje podobne do następujących danych wyjściowych:

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more    Actions

W portalu Microsoft Defender powinny zostać wyświetlone następujące informacje:

Suspicious 'BmTestOfflineUI' behavior was blocked

Po jej wybraniu zostanie wyświetlone drzewo alertów, które zawiera następujące informacje:

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

Sprawdź, Microsoft Defender włączono ochronę w czasie rzeczywistym

Aby sprawdzić, czy ochrona w czasie rzeczywistym (RTP) jest włączona, otwórz okno terminalu i skopiuj i wykonaj następujące polecenie:

mdatp health --field real_time_protection_enabled

Po włączeniu protokołu RTP wynik pokazuje wartość 1.

Włączanie monitorowania zachowania dla Ochrona punktu końcowego w usłudze Microsoft Defender

Aby uzyskać więcej informacji na temat włączania monitorowania zachowania dla usługi Defender for Endpoint, zobacz Instrukcje wdrażania dotyczące monitorowania zachowania.

Demonstracja działania monitorowania zachowania

Aby zademonstrować sposób, w jaki monitorowanie zachowania blokuje ładunek:

1. Utwórz skrypt powłoki bash przy użyciu edytora skryptu/tekstu, takiego jak nano lub Visual Studio Code (VS Code):

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Zapisz jako BM_test.sh.

3. Uruchom następujące polecenie, aby utworzyć plik wykonywalny skryptu powłoki Bash:

   sudo chmod u+x BM_test.sh
   

4. Uruchom skrypt powłoki bash:

   sudo bash BM_test.sh
   

   Wynik powinien wyglądać następująco

   zsh: killed sudo bash BM_test.sh

   Plik jest poddawany kwarantannie przez usługę Defender for Endpoint w systemie macOS. Użyj następującego polecenia, aby wyświetlić listę wszystkich wykrytych zagrożeń:

   mdatp threat list
   

   Wynik przedstawia następujące informacje:

   ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   
   Name: Behavior: MacOS/MacOSChangeFileTest
   
   Type: "behavior"
   
   Detection time: Tue May 7 20:23:41 2024
   
   Status: "quarantined"
   

Jeśli masz Ochrona punktu końcowego w usłudze Microsoft Defender P2/P1 lub Microsoft Defender dla Firm, przejdź do portalu Microsoft Defender i zobaczysz alert o nazwie Podejrzane zachowanie "MacOSChangeFileTest" zostało zablokowane.