الحظر السلوكي للعميل
ينطبق على:
- الخطة 1 من Microsoft Defender لنقطة النهاية
- Defender for Endpoint الخطة 2
- Microsoft Defender XDR
- برنامج الحماية من الفيروسات من Microsoft Defender
رصيف
- بالنسبة لنظام التشغيل
هل تريد تجربة Defender لنقطة النهاية؟ التسجيل للحصول على إصدار تجريبي مجاني.
نظرة عامة
الحظر السلوكي للعميل هو مكون من إمكانات الحظر السلوكي والاحتواء في Defender لنقطة النهاية. نظرا للكشف عن السلوكيات المشبوهة على الأجهزة (يشار إليها أيضا باسم العملاء أو نقاط النهاية)، يتم حظر البيانات الاصطناعية (مثل الملفات أو التطبيقات) وفحصها ومعالجتها تلقائيا.
تعمل الحماية من الفيروسات بشكل أفضل عند إقرانها بحماية السحابة.
كيفية عمل الحظر السلوكي للعميل
يمكن Microsoft Defender مكافحة الفيروسات الكشف عن السلوك المشبوه، والرمز الضار، والهجمات بدون ملفات، والهجمات في الذاكرة، والمزيد على الجهاز. عند اكتشاف السلوكيات المشبوهة، يقوم Microsoft Defender مكافحة الفيروسات بمراقبة هذه السلوكيات المشبوهة وأشجار العمليات الخاصة بها وإرسالها إلى خدمة الحماية السحابية. يميز التعلم الآلي بين التطبيقات الضارة والسلوكيات الجيدة داخل مللي ثانية، ويصنف كل أداة. في الوقت الفعلي تقريبا، بمجرد العثور على أداة ضارة، يتم حظرها على الجهاز.
كلما تم الكشف عن سلوك مريب، يتم إنشاء تنبيه يكون مرئيا أثناء اكتشاف الهجوم وإيقافه؛ يتم تشغيل التنبيهات، مثل "تنبيه الوصول الأولي"، وتظهر في مدخل Microsoft Defender.
الحظر السلوكي للعميل فعال لأنه لا يساعد فقط على منع بدء الهجوم، بل يمكن أن يساعد في إيقاف الهجوم الذي بدأ في التنفيذ. ومع حظر التكرار الحلقي للملاحظات (إمكانية أخرى للحظر السلوكي والاحتواء)، يتم منع الهجمات على أجهزة أخرى في مؤسستك.
عمليات الكشف المستندة إلى السلوك
يتم تسمية عمليات الكشف المستندة إلى السلوك وفقا لمصفوفة MITRE ATT&CK للمؤسسة. يساعد اصطلاح التسمية في تحديد مرحلة الهجوم حيث تمت ملاحظة السلوك الضار:
| تكتيك | اسم تهديد الكشف |
|---|---|
| الوصول الأولي | Behavior:Win32/InitialAccess.*!ml |
| تنفيذ | Behavior:Win32/Execution.*!ml |
| استمرار | Behavior:Win32/Persistence.*!ml |
| تصعيد الامتياز | Behavior:Win32/PrivilegeEscalation.*!ml |
| التهرب الدفاعي | Behavior:Win32/DefenseEvasion.*!ml |
| الوصول إلى بيانات الاعتماد | Behavior:Win32/CredentialAccess.*!ml |
| اكتشاف | Behavior:Win32/Discovery.*!ml |
| الحركة الجانبية | Behavior:Win32/LateralMovement.*!ml |
| مجموعة | Behavior:Win32/Collection.*!ml |
| الأمر والتحكم | Behavior:Win32/CommandAndControl.*!ml |
| النقل غير المصرح به | Behavior:Win32/Exfiltration.*!ml |
| تأثير | Behavior:Win32/Impact.*!ml |
| غير مصنف | Behavior:Win32/Generic.*!ml |
تلميح
لمعرفة المزيد حول تهديدات محددة، راجع نشاط التهديد العالمي الأخير.
تكوين الحظر السلوكي للعميل
إذا كانت مؤسستك تستخدم Defender لنقطة النهاية، يتم تمكين الحظر السلوكي للعميل بشكل افتراضي. ومع ذلك، للاستفادة من جميع قدرات Defender لنقطة النهاية، بما في ذلك الحظر السلوكي والاحتواء، تأكد من تمكين الميزات والقدرات التالية ل Defender لنقطة النهاية وتكوينها:
- أساسات Defender لنقطة النهاية
- الأجهزة المإلحاقة ب Defender لنقطة النهاية
- الكشف التلقائي والاستجابة على النقط النهائية في وضع الحظر
- قواعد تقليل الأجزاء المعرضة للهجوم
- الحماية من الجيل التالي (مكافحة الفيروسات ومكافحة البرامج الضارة وقدرات الحماية من التهديدات الأخرى)
تلميح
إذا كنت تبحث عن معلومات متعلقة ببرنامج الحماية من الفيروسات للأنظمة الأساسية الأخرى، فاطلع على:
- تعيين تفضيلات Microsoft Defender لنقطة النهاية على نظام التشغيل macOS
- Microsoft Defender for Endpoint على Mac
- إعدادات نهج برنامج الحماية من الفيروسات في macOS لبرنامج الحماية من الفيروسات من Microsoft Defender Antivirus for Intune
- تعيين تفضيلات Microsoft Defender لنقطة النهاية على Linux
- مشكلات الأداء في Microsoft Defender لنقطة النهاية على Linux
- تكوين Defender for Endpoint على ميزات Android
- تكوين Microsoft Defender for Endpoint على ميزات iOS
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.