Teilen über


Client-Verhaltensblockierung

Gilt für:

Plattform

  • Windows

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Übersicht

Die Clientverhaltensblockierung ist eine Komponente der Verhaltensblockierungs- und Einschlussfunktionen in Defender für Endpunkt. Wenn verdächtiges Verhalten auf Geräten (auch als Clients oder Endpunkte bezeichnet) erkannt wird, werden Artefakte (z. B. Dateien oder Anwendungen) automatisch blockiert, überprüft und behoben.

Cloud- und Clientschutz

Der Antivirenschutz funktioniert am besten, wenn er mit Cloudschutz gekoppelt ist.

Funktionsweise des Clientverhaltensblockings

Microsoft Defender Antivirus kann verdächtiges Verhalten, schädlichen Code, dateilose angriffe und In-Memory-Angriffe und vieles mehr auf einem Gerät erkennen. Wenn verdächtiges Verhalten erkannt wird, überwacht und sendet Microsoft Defender Antivirus diese verdächtigen Verhaltensweisen und ihre Prozessstrukturen an den Cloudschutzdienst. Maschinelles Lernen unterscheidet innerhalb von Millisekunden zwischen schädlichen Anwendungen und guten Verhaltensweisen und klassifiziert jedes Artefakt. Sobald ein Artefakt als schädlich eingestuft wird, wird es nahezu in Echtzeit auf dem Gerät blockiert.

Wenn ein verdächtiges Verhalten erkannt wird, wird eine Warnung generiert und ist sichtbar, während der Angriff erkannt und beendet wurde. Warnungen, z. B. eine "Warnung für den ersten Zugriff", werden ausgelöst und im Microsoft Defender-Portal angezeigt.

Die Blockierung des Clientverhaltens ist effektiv, da sie nicht nur den Start eines Angriffs verhindert, sie kann auch dazu beitragen, einen Angriff zu stoppen, der mit der Ausführung begonnen hat. Und mit der Blockierung von Feedbackschleifen (eine weitere Funktion der Verhaltensblockierung und -eindämmung) werden Angriffe auf andere Geräte in Ihrem organization verhindert.

Verhaltensbasierte Erkennungen

Verhaltensbasierte Erkennungen werden gemäß der MITRE ATT&CK Matrix for Enterprise benannt. Die Namenskonvention hilft dabei, die Angriffsphase zu identifizieren, in der das schädliche Verhalten beobachtet wurde:

Taktik Name der Bedrohungserkennung
Erstzugriff Behavior:Win32/InitialAccess.*!ml
Ausführung Behavior:Win32/Execution.*!ml
Persistenz Behavior:Win32/Persistence.*!ml
Rechteausweitung Behavior:Win32/PrivilegeEscalation.*!ml
Verteidigungsumgehung Behavior:Win32/DefenseEvasion.*!ml
Zugriff auf Anmeldeinformationen Behavior:Win32/CredentialAccess.*!ml
Suche Behavior:Win32/Discovery.*!ml
Laterale Bewegung Behavior:Win32/LateralMovement.*!ml
Sammlung Behavior:Win32/Collection.*!ml
Befehl und Steuerung Behavior:Win32/CommandAndControl.*!ml
Exfiltration Behavior:Win32/Exfiltration.*!ml
Auswirkung Behavior:Win32/Impact.*!ml
Uncategorized Behavior:Win32/Generic.*!ml

Tipp

Weitere Informationen zu bestimmten Bedrohungen finden Sie unter Aktuelle globale Bedrohungsaktivitäten.

Konfigurieren der Clientverhaltensblockierung

Wenn Ihr organization Defender für Endpunkt verwendet, ist das Blockieren des Clientverhaltens standardmäßig aktiviert. Um jedoch von allen Defender für Endpunkt-Funktionen zu profitieren, einschließlich Verhaltensblockierung und -eindämmung, stellen Sie sicher, dass die folgenden Features und Funktionen von Defender für Endpunkt aktiviert und konfiguriert sind:

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.