Beteendeblockering av klientdator
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Plattform
- Windows
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Översikt
Klientbeteendeblockering är en komponent i funktioner för beteendeblockering och inneslutning i Defender för Endpoint. Eftersom misstänkta beteenden identifieras på enheter (kallas även klienter eller slutpunkter) blockeras artefakter (till exempel filer eller program) automatiskt, kontrolleras och åtgärdas.
Antivirusskydd fungerar bäst när det är kopplat till molnskydd.
Så här fungerar klientbeteendeblockering
Microsoft Defender Antivirus kan identifiera misstänkt beteende, skadlig kod, fillösa och minnesinterna attacker med mera på en enhet. När misstänkta beteenden identifieras övervakar och skickar Microsoft Defender Antivirus dessa misstänkta beteenden och deras processträd till molnskyddstjänsten. Maskininlärning skiljer mellan skadliga program och bra beteenden inom millisekunder och klassificerar varje artefakt. I nästan realtid blockeras den på enheten så snart en artefakt har visat sig vara skadlig.
När ett misstänkt beteende upptäcks genereras en avisering och visas när attacken upptäcktes och stoppades. aviseringar, till exempel en "inledande åtkomstavisering", utlöses och visas i Microsoft Defender-portalen.
Klientbeteendeblockering är effektivt eftersom det inte bara hjälper till att förhindra att ett angrepp startar, det kan hjälpa till att stoppa ett angrepp som har börjat köras. Och med blockering av feedbackslingor (en annan funktion för beteendeblockering och inneslutning) förhindras attacker på andra enheter i din organisation.
Beteendebaserade identifieringar
Beteendebaserade identifieringar namnges enligt MITRE ATT-&CK-matris för företag. Namngivningskonventionen hjälper till att identifiera attacksteget där det skadliga beteendet observerades:
Taktik | Hotidentifieringsnamn |
---|---|
Inledande åtkomst | Behavior:Win32/InitialAccess.*!ml |
Utförande | Behavior:Win32/Execution.*!ml |
Ihärdighet | Behavior:Win32/Persistence.*!ml |
Privilegieeskalering | Behavior:Win32/PrivilegeEscalation.*!ml |
Skyddande undanmanöver | Behavior:Win32/DefenseEvasion.*!ml |
Åtkomst till autentiseringsuppgifter | Behavior:Win32/CredentialAccess.*!ml |
Identifiering | Behavior:Win32/Discovery.*!ml |
Lateral rörelse | Behavior:Win32/LateralMovement.*!ml |
Samling | Behavior:Win32/Collection.*!ml |
Kommando och kontroll | Behavior:Win32/CommandAndControl.*!ml |
Exfiltrering | Behavior:Win32/Exfiltration.*!ml |
Påverkan | Behavior:Win32/Impact.*!ml |
Uncategorized | Behavior:Win32/Generic.*!ml |
Tips
Mer information om specifika hot finns i den senaste globala hotaktiviteten.
Konfigurera klientbeteendeblockering
Om din organisation använder Defender för Endpoint är klientbeteendeblockering aktiverat som standard. Men om du vill dra nytta av alla funktioner i Defender för Endpoint, inklusive beteendeblockering och inneslutning, kontrollerar du att följande funktioner i Defender för Endpoint är aktiverade och konfigurerade:
- Defender för Endpoint-baslinjer
- Enheter som registrerats i Defender för Endpoint
- EDR i blockläge
- Minskning av attackytan
- Nästa generations skydd (antivirusprogram, program mot skadlig kod och andra funktioner för skydd mot hot)
Tips
Om du letar efter antivirusrelaterad information för andra plattformar läser du:
- Ange inställningar för Microsoft Defender för Endpoint på macOS
- Microsoft Defender för Endpoint för Mac
- macOS Antivirus-principinställningar för Microsoft Defender Antivirus för Intune
- Ange inställningar för Microsoft Defender för Endpoint i Linux
- Microsoft Defender för Endpoint för Linux
- Konfigurera Defender för Endpoint för Android-funktioner
- Konfigurera Microsoft Defender för Endpoint på iOS-funktioner
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.