Overvågning af funktionsmåde i Microsoft Defender Antivirus
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defender til enkeltpersoner
- Microsoft Defender Antivirus
Overvågning af funktionsmåde er en kritisk registrerings- og beskyttelsesfunktionalitet i Microsoft Defender Antivirus.
Overvåger procesfunktionsmåden for at registrere og analysere potentielle trusler baseret på funktionsmåden af programmer, tjenester og filer. I stedet for udelukkende at være afhængig af signaturbaseret registrering (som identificerer kendte malwaremønstre), fokuserer overvågning af adfærd på at observere, hvordan software fungerer i realtid. Her er, hvad det indebærer:
Real-Time trusselsregistrering:
- Hold løbende øje med processer, filsystemaktiviteter og interaktioner i systemet.
- Defender Antivirus kan identificere mønstre, der er knyttet til malware eller andre trusler. Den søger f.eks. efter processer, der foretager usædvanlige ændringer af eksisterende filer, ændrer eller opretter ASEP-nøgler (automatic startup registry) og andre ændringer af filsystemet eller -strukturen.
Dynamisk tilgang:
I modsætning til statisk, signaturbaseret registrering tilpasser adfærdsovervågning sig til nye trusler, der udvikler sig.
Microsoft Defender Antivirus bruger foruddefinerede mønstre og ser, hvordan software fungerer under udførelse. For malware, der ikke passer til et foruddefineret mønster, bruger Microsoft Defender Antivirus registrering af uregelmæssigheder.
Hvis et program viser mistænkelig adfærd (f.eks. forsøg på at ændre kritiske systemfiler), kan Microsoft Defender Antivirus træffe foranstaltninger for at forhindre yderligere skade og gendanne nogle tidligere malwarehandlinger.
Overvågning af adfærd forbedrer Defender Antiviruss mulighed for proaktivt at registrere nye trusler ved at fokusere på handlinger og adfærd i realtid i stedet for udelukkende at være afhængig af kendte signaturer.
Følgende funktioner afhænger af overvågning af funktionsmåde.
Antimalware:
- Indikatorer, Filhash, tillad/bloker
Netværksbeskyttelse:
- Indikatorer, IP-adresse/URL-adresse, tillad/bloker
- Filtrering af webindhold, tillad/bloker
Bemærk!
Overvågning af funktionsmåde er beskyttet af beskyttelse mod ændring.
Hvis du vil deaktivere overvågning af funktionsmåde midlertidigt for at fjerne det fra billedet, skal du først aktivere fejlfindingstilstand, deaktivere Tamper Protection og derefter deaktivere overvågning af funktionsmåde.
Skift politikken for overvågning af funktionsmåde
I følgende tabel vises de forskellige måder at konfigurere overvågning af funktionsmåde på.
| Administrationsværktøj | Navn | Links |
|---|---|---|
| Administration af sikkerhedsindstillinger | Tillad overvågning af funktionsmåde | Denne artikel |
| Intune | Tillad overvågning af funktionsmåde | Politikindstillinger for Windows Antivirus for Microsoft Defender Antivirus til Intune |
| CSP | AllowBehaviorMonitoring | CSP for Defender-politik |
| Configuration Manager lejer vedhæft | Slå overvågning af funktionsmåde til | Politikindstillinger for Windows Antivirus fra Microsoft Defender Antivirus for tilknyttede lejerenheder |
| Gruppepolitik | Slå overvågning af funktionsmåde til | Download Gruppepolitik indstillingsreferenceregneark til Windows 11 2023-opdatering (23H2) |
| PowerShell | Set-Preference – DisableBehaviorMonitoring | Set-MpPreference |
| WMI | boolean DisableBehaviorMonitoring; | MSFT_MpPreference klasse |
Hvis du bruger Microsoft Defender til virksomheder, skal du se Gennemse eller redigere dine beskyttelsespolitikker i næste generation i Microsoft Defender til virksomheder.
Rediger indstillingerne for overvågning af funktionsmåde ved hjælp af PowerShell
Brug følgende kommando til at ændre indstillingerne for overvågning af funktionsmåde:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
Truedeaktiverer overvågning af funktionsmåde.Falseaktiverer overvågning af funktionsmåde.
Du kan få flere oplysninger under Set-MpPreference.
Forespørg om overvågningsstatus for funktionsmåde fra PowerShell
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
Hvis den returnerede værdi er true, aktiveres overvågning af funktionsmåde.
Forespørg om overvågningsstatus for funktionsmåden ved hjælp af Avanceret jagt
Du kan bruge AH (Advanced Hunting) til at forespørge om status for overvågning af funktionsmåde.
Kræver Microsoft Defender XDR, Microsoft Defender for Endpoint Plan 2 eller Microsoft Defender til virksomheder.
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
Fejlfinding af højt CPU-forbrug
Registreringer, der er relateret til overvågning af funktionsmåde, starter med "Funktionsmåde".
Når du undersøger højt CPU-forbrug i MsMpEng.exe, kan du midlertidigt deaktivere overvågning af funktionsmåde for at se, om problemerne fortsætter.
Du kan bruge Effektivitetsanalyse til Microsoft Defender Antivirus til at finde \path\process-, proces- og/eller filtypenavne, der bidrager til den høje CPU-udnyttelse. Du kan derefter føje disse elementer til Kontekstafhængig udeladelse.
Du kan få flere oplysninger under Effektivitetsanalyse for Microsoft Defender Antivirus.
Hvis du oplever et højt CPU-forbrug forårsaget af overvågning af funktionsmåde, skal du fortsætte med at foretage fejlfinding af problemet ved at gendanne hvert af følgende elementer i rækkefølge. Genaktiver overvågning af funktionsmåde efter gendannelse af hvert element for at identificere, hvor problemet kan være.
- platformopdatering
- programopdatering
- security intelligence-opdatering.
Hvis du stadig oplever problemer med højt CPU-forbrug, skal du kontakte Microsoft Support og have dine Klientanalyse-data klar.
Hvis overvågning af funktionsmåden ikke forårsager problemet, kan du bruge Effektivitetsanalyse til Microsoft Defender Antivirus til at indsamle logoplysninger. Indsaml to forskellige logge ved hjælp af a -c og a -a. Hav disse oplysninger klar, når du kontakter Microsoft Support.
Du kan få flere oplysninger under Dataindsamling til avanceret fejlfinding i Windows.