Blokování chování klienta

Platí pro:

Platforma

  • Windows

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Přehled

Blokování chování klienta je součástí behaviorálního blokování a schopností omezení v Defenderu for Endpoint. Vzhledem k tomu, že se na zařízeních (označovaných také jako klienti nebo koncové body) detekuje podezřelé chování, artefakty (jako jsou soubory nebo aplikace) se blokují, kontrolují a opravují automaticky.

Ochrana cloudu a klientů

Antivirová ochrana funguje nejlépe ve spojení s cloudovou ochranou.

Jak funguje blokování chování klienta

Microsoft Defender Antivirus dokáže na zařízení detekovat podezřelé chování, škodlivý kód, útoky bez souborů a v paměti a další. Když zjistíte podezřelé chování, Microsoft Defender Antivirus monitoruje a odesílá podezřelé chování a jejich stromy procesů do služby cloudové ochrany. Strojové učení rozlišuje škodlivé aplikace a dobré chování v milisekundách a klasifikuje jednotlivé artefakty. Téměř v reálném čase, jakmile se zjistí, že je artefakt škodlivý, je na zařízení zablokovaný.

Při každém zjištění podezřelého chování se vygeneruje výstraha, která je viditelná během detekce a zastavení útoku; výstrahy, například upozornění na počáteční přístup, se aktivují a zobrazují se na portálu Microsoft Defender (dříve Microsoft Defender XDR).

Blokování chování klienta je efektivní, protože nejen pomáhá zabránit spuštění útoku, ale může také pomoct zastavit útok, který se začal provádět. A díky blokování smyčky zpětné vazby (další funkce blokování a omezování chování) se útokům brání na jiných zařízeních ve vaší organizaci.

Detekce na základě chování

Detekce na základě chování jsou pojmenovány podle MITRE ATT&CK Matrix for Enterprise. Zásady vytváření názvů pomáhají identifikovat fázi útoku, ve které bylo zjištěno škodlivé chování:

Taktika Název hrozby detekce
Počáteční přístup Behavior:Win32/InitialAccess.*!ml
Spuštění Behavior:Win32/Execution.*!ml
Trvalosti Behavior:Win32/Persistence.*!ml
Eskalace oprávnění Behavior:Win32/PrivilegeEscalation.*!ml
Únik v obraně Behavior:Win32/DefenseEvasion.*!ml
Přístup k přihlašovacím údajům Behavior:Win32/CredentialAccess.*!ml
Objev Behavior:Win32/Discovery.*!ml
Laterální pohyb Behavior:Win32/LateralMovement.*!ml
Kolekce Behavior:Win32/Collection.*!ml
Příkazy a řízení Behavior:Win32/CommandAndControl.*!ml
Exfiltrace Behavior:Win32/Exfiltration.*!ml
Dopad Behavior:Win32/Impact.*!ml
Nekategorizované Behavior:Win32/Generic.*!ml

Tip

Další informace o konkrétních hrozbách najdete v nedávné aktivitě globálních hrozeb.

Konfigurace blokování chování klienta

Pokud vaše organizace používá Defender for Endpoint, je blokování chování klienta ve výchozím nastavení povolené. Pokud ale chcete využívat všechny funkce Defenderu for Endpoint, včetně blokování chování a omezování, ujistěte se, že jsou povolené a nakonfigurované následující funkce a možnosti Defenderu for Endpoint:

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.