Demonstration av beteendeövervakning
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender för företag
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender Antivirus
- Microsoft Defender för enskilda användare
Beteendeövervakning i Microsoft Defender Antivirus övervakar processbeteendet för att identifiera och analysera potentiella hot baserat på beteendet för program, tjänster och filer. I stället för att enbart förlita sig på innehållsmatchning, som identifierar kända mönster för skadlig kod, fokuserar beteendeövervakning på att observera hur programvara beter sig i realtid.
Scenariokrav och installation
Windows 11, Windows 10, Windows 8.1, Windows 7 SP1
Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 och Windows Server 2008 R2
macOS
Windows
Kontrollera Microsoft Defender realtidsskydd är aktiverat
Kontrollera att realtidsskydd är aktiverat genom att öppna PowerShell som administratör och sedan köra följande kommando:
get-mpComputerStatus |ft RealTimeProtectionEnabled
När realtidsskydd är aktiverat visar resultatet värdet True.
Aktivera beteendeövervakning för Microsoft Defender för Endpoint
Mer information om hur du aktiverar beteendeövervakning för Defender för Endpoint finns i aktivera beteendeövervakning.
Demonstration av hur beteendeövervakning fungerar i Windows och Windows Server
Om du vill visa hur beteendeövervakning blockerar en nyttolast kör du följande PowerShell-kommando:
powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"
Utdata innehåller ett förväntat fel enligt följande:
hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException
I Microsoft Defender portalen i Åtgärdscenter bör du se följande information:
- Windows-säkerhet
- Hot hittades
- Microsoft Defender Antivirus hittade hot. Hämta information.
- Avskeda
Om du väljer länken öppnas din Windows-säkerhet-app. Välj Skyddshistorik.
Du bör se information som liknar följande utdata:
Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more Actions
I Microsoft Defender portalen bör du se följande information:
Suspicious 'BmTestOfflineUI' behavior was blocked
När du väljer det visas aviseringsträdet med följande information:
Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring
macOS
Kontrollera Microsoft Defender realtidsskydd är aktiverat
Om du vill kontrollera att realtidsskydd (RTP) är aktiverat öppnar du ett terminalfönster och kopierar och kör följande kommando:
mdatp health --field real_time_protection_enabled
När RTP är aktiverat visar resultatet värdet 1.
Aktivera beteendeövervakning för Microsoft Defender för Endpoint
Mer information om hur du aktiverar beteendeövervakning för Defender för Endpoint finns i Distributionsinstruktioner.
Demonstration av hur beteendeövervakning fungerar
Så här visar du hur beteendeövervakning blockerar en nyttolast:
Skapa ett bash-skript med hjälp av ett skript/textredigerare som nano eller Visual Studio Code (VS Code):
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5Spara som
BM_test.sh.Kör följande kommando för att göra bash-skriptet körbart:
sudo chmod u+x BM_test.shKör bash-skriptet:
sudo bash BM_test.shResultatet bör se ut så här
zsh: killed sudo bash BM_test.shFilen sattes i karantän av Defender för Endpoint på macOS. Använd följande kommando för att lista alla identifierade hot:
mdatp threat listResultatet visar information som den här:
ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" Name: Behavior: MacOS/MacOSChangeFileTest Type: "behavior" Detection time: Tue May 7 20:23:41 2024 Status: "quarantined"
Om du har Microsoft Defender för Endpoint P2/P1 eller Microsoft Defender för företag går du till Microsoft Defender-portalen och ser en avisering med namnet " MacOSChangeFileTest".