مشاركة عبر

عرض توضيحي لمراقبة السلوك

  • مقالة

ينطبق على:

تراقب مراقبة السلوك في برنامج الحماية من الفيروسات من Microsoft Defender سلوك العملية للكشف عن التهديدات المحتملة وتحليلها استنادا إلى سلوك التطبيقات والخدمات والملفات. بدلا من الاعتماد فقط على مطابقة المحتوى، والذي يحدد أنماط البرامج الضارة المعروفة، تركز مراقبة السلوك على مراقبة كيفية تصرف البرامج في الوقت الحقيقي.

متطلبات السيناريو والإعداد

التحقق من تمكين الحماية في الوقت الحقيقي من Microsoft Defender

للتحقق من تمكين الحماية في الوقت الحقيقي (RTP)، افتح نافذة طرفية وانسخ الأمر التالي ونفذه:

mdatp health --field real_time_protection_enabled

عند تمكين RTP، تظهر النتيجة قيمة 1.

تمكين مراقبة السلوك ل Microsoft Defender لنقطة النهاية

لمزيد من المعلومات حول كيفية تمكين مراقبة السلوك ل Defender لنقطة النهاية، راجع إرشادات النشر.

عرض توضيحي لكيفية عمل مراقبة السلوك

لتوضيح كيفية حظر مراقبة السلوك لحمولة:

  1. إنشاء برنامج نصي bash باستخدام برنامج نصي/محرر نص مثل nano أو Visual Studio Code (VS Code):

    #! /usr/bin/bash
echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
sleep 5

  2. حفظ ك BM_test.sh

  3. قم بتشغيل الأمر التالي لجعل البرنامج النصي bash قابلا للتنفيذ:

    sudo chmod u+x BM_test.sh

  4. تشغيل البرنامج النصي bash:

sudo bash BM_test.sh

تظهر النتيجة:

zsh: قتل sudo bash BM_test.sh

تم عزل الملف بواسطة Defender لنقطة النهاية على macOS. استخدم الأمر التالي لسرد جميع التهديدات المكتشفة:

mdatp threat list

تظهر النتيجة:

المعرف: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

الاسم: السلوك: MacOS/MacOSChangeFileTest

النوع: "سلوك"

وقت الكشف: 7 مايو 20:23:41 2024

الحالة: "معزول"

إذا كان لديك Microsoft Defender لنقطة النهاية P2/P1 أو Microsoft Defender للأعمال، فانتقل إلى مدخل Microsoft Defender XDR، وسترى تنبيها باسم: "تم حظر سلوك 'MacOSChangeFileTest' المشبوه."