مراقبة السلوك في برنامج الحماية من الفيروسات Microsoft Defender

  • مقالة

ينطبق على:

مراقبة السلوك هي وظيفة الكشف والحماية الهامة Microsoft Defender مكافحة الفيروسات.

مراقبة سلوك العملية للكشف عن التهديدات المحتملة وتحليلها استنادا إلى سلوك التطبيقات والخدمات والملفات. بدلا من الاعتماد فقط على الكشف المستند إلى التوقيع (الذي يحدد أنماط البرامج الضارة المعروفة)، تركز مراقبة السلوك على مراقبة كيفية تصرف البرامج في الوقت الحقيقي. إليك ما يستلزمه الأمر:

  1. Real-Time الكشف عن التهديدات:

    • مراقبة العمليات وأنشطة نظام الملفات والتفاعلات داخل النظام باستمرار.
    • يمكن ل Defender Antivirus تحديد الأنماط المرتبطة بالبرامج الضارة أو التهديدات الأخرى. على سبيل المثال، يبحث عن العمليات التي تجري تغييرات غير عادية على الملفات الموجودة، وتعديل مفاتيح تسجيل بدء التشغيل التلقائي (ASEP) أو إنشائها، وتغييرات أخرى لنظام الملفات أو البنية.

  2. النهج الديناميكي:

  • على عكس الكشف الثابت المستند إلى التوقيع، تتكيف مراقبة السلوك مع التهديدات الجديدة والمتطورة.

  • يستخدم برنامج الحماية من الفيروسات Microsoft Defender أنماطا محددة مسبقا، ويراقب كيفية تصرف البرنامج أثناء التنفيذ. بالنسبة للبرامج الضارة التي لا تناسب أي نمط محدد مسبقا، يستخدم برنامج الحماية من الفيروسات Microsoft Defender الكشف عن الحالات الشاذة.

  • إذا أظهر أحد البرامج سلوكا مريبا (على سبيل المثال، محاولة تعديل ملفات النظام الهامة)، يمكن Microsoft Defender مكافحة الفيروسات اتخاذ إجراء لمنع المزيد من الضرر، وإعادة بعض إجراءات البرامج الضارة السابقة.

تعزز مراقبة السلوك قدرة Defender Antivirus على الكشف عن التهديدات الناشئة بشكل استباقي من خلال التركيز على الإجراءات والسلوكيات في الوقت الحقيقي بدلا من الاعتماد فقط على التواقيع المعروفة.

تعتمد الميزات التالية على مراقبة السلوك.

مكافحة البرامج الضارة:

  • المؤشرات، تجزئة الملف، السماح/الكتلة

حماية الشبكة:

  • المؤشرات، عنوان IP/عنوان URL، السماح/الحظر
  • تصفية محتوى الويب، السماح/الحظر

ملاحظة

تتم حماية مراقبة السلوك من خلال الحماية من العبث.

لتعطيل مراقبة السلوك مؤقتا لإزالتها من الصورة، تريد أولا تمكين وضع استكشاف الأخطاء وإصلاحها، وتعطيل الحماية من العبث، ثم تعطيل مراقبة السلوك.

تغيير نهج مراقبة السلوك

يوضح الجدول التالي الطرق المختلفة لتكوين مراقبة السلوك.

أداة الإدارة الاسم الروابط
إدارة إعدادات الأمان السماح بمراقبة السلوك هذه المقالة
Intune السماح بمراقبة السلوك إعدادات نهج برنامج الحماية من الفيروسات ل Windows لبرنامج الحماية من الفيروسات Microsoft Defender للحماية من الفيروسات Intune
Csp AllowBehaviorMonitoring نهج Defender CSP
إرفاق مستأجر Configuration Manager تشغيل مراقبة السلوك إعدادات نهج برنامج الحماية من الفيروسات ل Windows من برنامج الحماية من الفيروسات Microsoft Defender للأجهزة المرفقة بالمستأجر
نهج المجموعة تشغيل مراقبة السلوك تنزيل جدول بيانات مرجع إعدادات نهج المجموعة لتحديث Windows 11 2023 (23H2)
PowerShell Set-Preference -DisableBehaviorMonitoring Set-MpPreference
Wmi منطقي DisableBehaviorMonitoring; فئة MSFT_MpPreference

إذا كنت تستخدم Microsoft Defender for Business، فراجع مراجعة نهج الحماية من الجيل التالي أو تحريرها في Microsoft Defender for Business.

تعديل إعدادات مراقبة السلوك باستخدام PowerShell

استخدم الأمر التالي لتعديل إعدادات مراقبة السلوك:

Set-MpPreference -DisableBehaviorMonitoring <true | false>
  • True تعطيل مراقبة السلوك.
  • False تمكين مراقبة السلوك.

لمزيد من المعلومات، راجع Set-MpPreference.

الاستعلام عن حالة مراقبة السلوك من PowerShell

Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled

إذا كانت القيمة التي تم إرجاعها هي true، يتم تمكين مراقبة السلوك.

الاستعلام عن حالة مراقبة السلوك باستخدام التتبع المتقدم

يمكنك استخدام التتبع المتقدم (AH) للاستعلام عن حالة مراقبة السلوك.

يتطلب Microsoft Defender XDR أو Microsoft Defender لنقطة النهاية الخطة 2 أو Microsoft Defender for Business.

let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc

استكشاف أخطاء الاستخدام العالي لوحدة المعالجة المركزية وإصلاحها

تبدأ عمليات الكشف المتعلقة بمراقبة السلوك ب "السلوك".

عند التحقيق في الاستخدام العالي لوحدة المعالجة المركزية في MsMpEng.exe، يمكنك تعطيل مراقبة السلوك مؤقتا لمعرفة ما إذا كانت المشكلات مستمرة.

يمكنك استخدام محلل الأداء لبرنامج الحماية من الفيروسات Microsoft Defender للعثور على \path\processو/أو ملحقات الملفات التي تساهم في الاستخدام العالي لوحدة المعالجة المركزية. يمكنك بعد ذلك إضافة هذه العناصر إلى الاستبعاد السياقي.

للحصول على مزيد من المعلومات، راجع محلل الأداء لبرنامج الحماية من الفيروسات من Microsoft Defender.

إذا كنت ترى استخداما عاليا لوحدة المعالجة المركزية بسبب مراقبة السلوك، فتابع استكشاف المشكلة وإصلاحها عن طريق إعادة كل عنصر من العناصر التالية بالترتيب. أعد تمكين مراقبة السلوك بعد إرجاع كل عنصر لتحديد مكان المشكلة.

  1. تحديث النظام الأساسي
  2. تحديث المحرك
  3. تحديث التحليل الذكي للأمان.

إذا كنت لا تزال تواجه مشكلات عالية في استخدام وحدة المعالجة المركزية، فاتصل بدعم Microsoft واستعد بيانات محلل العميل.

إذا كانت مراقبة السلوك لا تسبب المشكلة، فاستخدم محلل الأداء Microsoft Defender مكافحة الفيروسات لجمع معلومات السجل. جمع سجلين مختلفين باستخدام a -c و a -a. يجب أن تكون هذه المعلومات جاهزة عند الاتصال بدعم Microsoft.

لمزيد من المعلومات، راجع جمع البيانات لاستكشاف الأخطاء وإصلاحها المتقدمة على Windows.