Demonstration af adfærdsovervågning
Gælder for:
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender Antivirus
- Microsoft Defender for Individuals
Adfærdsovervågning i Microsoft Defender Antivirus overvåger procesfunktionsmåden for at registrere og analysere potentielle trusler baseret på funktionsmåden af programmer, tjenester og filer. I stedet for udelukkende at være afhængig af matchning af indhold, som identificerer kendte malwaremønstre, fokuserer overvågning af adfærd på at observere, hvordan software fungerer i realtid.
Scenariekrav og konfiguration
- Denne demonstration kører kun på macOS
- Microsoft Defender Beskyttelse i realtid er aktiveret
- Overvågning af funktionsmåde er aktiveret
Kontrollér, at Microsoft Defender-beskyttelse i realtid er aktiveret
Hvis du vil kontrollere, at beskyttelse i realtid (RTP) er aktiveret, skal du åbne et terminalvindue og kopiere og udføre følgende kommando:
mdatp health --field real_time_protection_enabled
Når RTP er aktiveret, viser resultatet en værdi på 1.
Aktivér overvågning af funktionsmåde for Microsoft Defender for Endpoint
Du kan finde flere oplysninger om, hvordan du aktiverer overvågning af funktionsmåde for Defender for Endpoint, i Installationsvejledning.
Demonstration af, hvordan overvågning af funktionsmåde fungerer
Sådan demonstrerer du, hvordan overvågning af funktionsmåde blokerer en nyttedata:
Opret et bashscript ved hjælp af et script/en teksteditor, f.eks. nano eller Visual Studio Code (VS Code):
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5Gem som BM_test.sh
Kør følgende kommando for at gøre bashscriptet eksekverbart:
sudo chmod u+x BM_test.shKør bashscriptet:
sudo bash BM_test.sh
Resultatet viser:
zsh: dræbte sudo bash BM_test.sh
Filen blev sat i karantæne af Defender for Endpoint på macOS. Brug følgende kommando til at få vist alle registrerede trusler:
mdatp threat list
Resultatet viser:
ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx"
Navn: Funktionsmåde: MacOS/MacOSChangeFileTest
Type: "funktionsmåde"
Registreringstid: Tir 7. maj 20:23:41 2024
Status: "sat i karantæne"
Hvis du har Microsoft Defender for Endpoint P2/P1 eller Microsoft Defender for Business, skal du gå til Microsoft Defender XDR-portalen, hvorefter du får vist en besked med navnet: "Mistænkelig funktionsmåde for MacOSChangeFileTest" blev blokeret."
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om