blokering af klientfunktionsmåder
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Perron
- Windows
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Oversigt
Blokering af klientfunktionsmåden er en komponent i funktionsblokering og opbevaringsfunktioner i Defender for Endpoint. Da mistænkelig adfærd registreres på enheder (også kaldet klienter eller slutpunkter), blokeres, kontrolleres og afhjælpes artefakter (f.eks. filer eller programmer) automatisk.
Antivirusbeskyttelse fungerer bedst, når den kombineres med cloudbeskyttelse.
Sådan fungerer blokering af klientens funktionsmåde
Microsoft Defender Antivirus kan registrere mistænkelig adfærd, skadelig kode, filuafhængige angreb og angreb i hukommelsen m.m. på en enhed. Når der registreres mistænkelig adfærd, overvåger Microsoft Defender Antivirus og sender disse mistænkelige funktionsmåder og deres procestræer til cloudbeskyttelsestjenesten. Maskinel indlæring skelner mellem skadelige programmer og god funktionsmåde i millisekunder og klassificerer hver artefakt. Så snart en artefakt er ondsindet i næsten realtid, blokeres den på enheden.
Når der registreres en mistænkelig funktionsmåde, genereres der en besked, som er synlig, mens angrebet blev registreret og stoppet. beskeder, f.eks. en "indledende adgangsbesked", udløses og vises på Microsoft Defender portalen.
Blokering af klientens funktionsmåde er effektiv, fordi det ikke kun hjælper med at forhindre, at et angreb starter. Det kan hjælpe med at stoppe et angreb, der er begyndt at blive udført. Og med blokering af feedbackløkke (en anden funktion til adfærdsblokering og indeslutning) forhindres angreb på andre enheder i din organisation.
Adfærdsbaserede registreringer
Adfærdsbaserede registreringer navngives i henhold til MITRE ATT-&CK-matrixen for Enterprise. Navngivningskonventionen hjælper med at identificere den angrebsfase, hvor den skadelige funktionsmåde blev observeret:
| Taktik | Navn på opdagelsestrussel |
|---|---|
| Indledende adgang | Behavior:Win32/InitialAccess.*!ml |
| Henrettelse | Behavior:Win32/Execution.*!ml |
| Persistens | Behavior:Win32/Persistence.*!ml |
| Rettighedseskalering | Behavior:Win32/PrivilegeEscalation.*!ml |
| Forsvarsunddragelse | Behavior:Win32/DefenseEvasion.*!ml |
| Adgang til legitimationsoplysninger | Behavior:Win32/CredentialAccess.*!ml |
| Opdagelse | Behavior:Win32/Discovery.*!ml |
| Tværgående bevægelse | Behavior:Win32/LateralMovement.*!ml |
| Samling | Behavior:Win32/Collection.*!ml |
| Kommando og kontrolelement | Behavior:Win32/CommandAndControl.*!ml |
| Eksfiltration | Behavior:Win32/Exfiltration.*!ml |
| Indvirkning | Behavior:Win32/Impact.*!ml |
| Uncategorized | Behavior:Win32/Generic.*!ml |
Tip
Hvis du vil vide mere om specifikke trusler, kan du se den seneste globale trusselsaktivitet.
Konfiguration af blokering af klientfunktionsmåde
Hvis din organisation bruger Defender for Endpoint, er blokering af klientens funktionsmåde som standard aktiveret. Hvis du vil drage fordel af alle Defender for Endpoint-funktioner, herunder funktionsblokering og indeslutning, skal du dog sørge for, at følgende funktioner og funktioner i Defender for Endpoint er aktiveret og konfigureret:
- Defender for endpoint baselines
- Enheder, der er onboardet til Defender for Endpoint
- EDR i bloktilstand
- Reduktion af angrebsoverfladen
- Næste generations beskyttelse (antivirus, antimalware og andre trusselsbeskyttelsesfunktioner)
Tip
Hvis du leder efter antivirusrelaterede oplysninger til andre platforme, skal du se:
- Angiv indstillinger for Microsoft Defender for Endpoint på macOS-
- Microsoft Defender for Endpoint på Mac
- Politikindstillinger for macOS Antivirus for Microsoft Defender Antivirus for Intune
- Angiv indstillinger for Microsoft Defender for Endpoint på Linux
- Microsoft Defender for Endpoint på Linux
- Konfigurer Defender for Endpoint på Android-funktioner
- Konfigurer Microsoft Defender for Endpoint på iOS-funktioner
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.