Демонстрация мониторинга поведения

Область применения:

• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender для бизнеса
• Microsoft Defender для конечной точки (план 1)
• Антивирусная программа в Microsoft Defender
• Microsoft Defender для физических лиц

Мониторинг поведения в Microsoft Defender Антивирусная программа отслеживает поведение процесса для обнаружения и анализа потенциальных угроз на основе поведения приложений, служб и файлов. Вместо того чтобы полагаться исключительно на сопоставление содержимого, которое определяет известные шаблоны вредоносных программ, мониторинг поведения фокусируется на наблюдении за поведением программного обеспечения в режиме реального времени.

Требования к сценарию и настройка

• Клиентские устройства должны работать под управлением Windows 11, Windows 10, Windows 8.1, Windows 7 с пакетом обновления 1 (SP1) или macOS.

• Серверные устройства должны работать Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 или Windows Server 2008 R2

• Microsoft Defender включена защита в режиме реального времени

• Мониторинг поведения включен

Windows

Проверка Microsoft Defender включена защита в режиме реального времени

Чтобы убедиться, что защита в режиме реального времени включена, откройте PowerShell от имени администратора и выполните следующую команду:

get-mpComputerStatus |ft RealTimeProtectionEnabled

Если включена защита в режиме реального Trueвремени, результат показывает значение .

Включение мониторинга поведения для Microsoft Defender для конечной точки

Дополнительные сведения о том, как включить мониторинг поведения для Defender для конечной точки, см. в разделе Включение мониторинга поведения.

Демонстрация работы мониторинга поведения в Windows и Windows Server

Чтобы продемонстрировать, как мониторинг поведения блокирует полезные данные, выполните следующую команду PowerShell:

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

Выходные данные содержат ожидаемую ошибку следующим образом:

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

На портале Microsoft Defender в Центре уведомлений должны отобразиться следующие сведения:

• Безопасность Windows
• Обнаруженные угрозы
• Microsoft Defender антивирусная программа обнаружила угрозы. Получение сведений.
• Отклонить

Если щелкнуть ссылку, откроется приложение Безопасность Windows. Выберите Журнал защиты.

Вы должны увидеть сведения, похожие на следующие выходные данные:

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more    Actions

На портале Microsoft Defender вы увидите следующую информацию:

Suspicious 'BmTestOfflineUI' behavior was blocked

При его выборе отобразится дерево оповещений со следующими сведениями:

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

Проверка Microsoft Defender включена защита в режиме реального времени

Чтобы убедиться, что защита в режиме реального времени (RTP) включена, откройте окно терминала и скопируйте и выполните следующую команду:

mdatp health --field real_time_protection_enabled

Если RTP включен, результат отображает значение 1.

Включение мониторинга поведения для Microsoft Defender для конечной точки

Дополнительные сведения о том, как включить мониторинг поведения для Defender для конечной точки, см. в разделе Инструкции по развертыванию для мониторинга поведения.

Демонстрация принципов работы мониторинга поведения

Чтобы продемонстрировать, как мониторинг поведения блокирует полезные данные, выполните следующие действия.

1. Создайте скрипт bash с помощью скрипта или текстового редактора, например nano или Visual Studio Code (VS Code):

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Сохраните как BM_test.sh.

3. Выполните следующую команду, чтобы сделать скрипт bash исполняемым:

   sudo chmod u+x BM_test.sh
   

4. Запустите скрипт bash:

   sudo bash BM_test.sh
   

   Результат должен выглядеть следующим образом.

   zsh: killed sudo bash BM_test.sh

   Файл помещается в карантин в Defender для конечной точки в macOS. Используйте следующую команду, чтобы получить список всех обнаруженных угроз:

   mdatp threat list
   

   В результате отображаются следующие сведения:

   ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   
   Name: Behavior: MacOS/MacOSChangeFileTest
   
   Type: "behavior"
   
   Detection time: Tue May 7 20:23:41 2024
   
   Status: "quarantined"
   

Если у вас есть Microsoft Defender для конечной точки P2/P1 или Microsoft Defender для бизнеса, перейдите на портал Microsoft Defender и вы увидите оповещение с заголовком Подозрительное поведение MacOSChangeFileTest заблокировано.