Verhaltensüberwachung in Microsoft Defender Antivirus
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender für Unternehmen
- Microsoft Defender für Einzelpersonen
- Microsoft Defender Antivirus
Die Verhaltensüberwachung ist eine wichtige Erkennungs- und Schutzfunktion von Microsoft Defender Antivirus.
Überwacht das Prozessverhalten, um potenzielle Bedrohungen basierend auf dem Verhalten von Anwendungen, Diensten und Dateien zu erkennen und zu analysieren. Anstatt sich ausschließlich auf die signaturbasierte Erkennung zu verlassen (die bekannte Schadsoftwaremuster identifiziert), konzentriert sich die Verhaltensüberwachung darauf, zu beobachten, wie sich Software in Echtzeit verhält. Dies beinhaltet Folgendes:
Real-Time Bedrohungserkennung:
- Beobachten Sie kontinuierlich Prozesse, Dateisystemaktivitäten und Interaktionen innerhalb des Systems.
- Defender Antivirus kann Muster identifizieren, die mit Schadsoftware oder anderen Bedrohungen verbunden sind. Es sucht beispielsweise nach Prozessen, die ungewöhnliche Änderungen an vorhandenen Dateien vornehmen, ASEP-Schlüssel (Automatic Startup Registry) ändern oder erstellen sowie nach anderen Änderungen am Dateisystem oder der Struktur.
Dynamischer Ansatz:
Im Gegensatz zur statischen, signaturbasierten Erkennung passt sich die Verhaltensüberwachung an neue und sich entwickelnde Bedrohungen an.
Microsoft Defender Antivirus verwendet vordefinierte Muster und beobachtet, wie sich Software während der Ausführung verhält. Für Schadsoftware, die keinem vordefinierten Muster entspricht, verwendet Microsoft Defender Antivirus die Anomalieerkennung.
Wenn ein Programm verdächtiges Verhalten zeigt (z. B. beim Versuch, kritische Systemdateien zu ändern), kann Microsoft Defender Antivirus Maßnahmen ergreifen, um weitere Schäden zu verhindern, und rückgängig machen einige vorherige Schadsoftwareaktionen.
Die Verhaltensüberwachung verbessert die Fähigkeit von Defender Antivirus, neue Bedrohungen proaktiv zu erkennen, indem sie sich auf Echtzeitaktionen und -verhaltensweisen konzentriert, anstatt sich ausschließlich auf bekannte Signaturen zu verlassen.
Die folgenden Features hängen von der Verhaltensüberwachung ab.
Antischadsoftware:
- Indikatoren, Dateihash, Zulassen/Blockieren
Netzwerkschutz:
- Indikatoren, IP-Adresse/URL, Zulassen/Blockieren
- Webinhaltsfilterung, Zulassen/Blockieren
Hinweis
Die Verhaltensüberwachung wird durch Manipulationsschutz geschützt.
Um die Verhaltensüberwachung vorübergehend zu deaktivieren, um sie aus dem Bild zu entfernen, sollten Sie zuerst den Problembehandlungsmodus aktivieren, den Manipulationsschutz deaktivieren und dann die Verhaltensüberwachung deaktivieren.
Ändern der Verhaltensüberwachungsrichtlinie
Die folgende Tabelle zeigt die verschiedenen Möglichkeiten zum Konfigurieren der Verhaltensüberwachung.
Verwaltungstool | Name | Links |
---|---|---|
Verwaltung von Sicherheitseinstellungen | Verhaltensüberwachung zulassen | Dieser Artikel |
Intune | Verhaltensüberwachung zulassen | Windows Antivirus-Richtlinieneinstellungen für Microsoft Defender Antivirus for Intune |
CSP | AllowBehaviorMonitoring | Defender-Richtlinien-CSP |
Configuration Manager Mandantenanfügung | Aktivieren der Verhaltensüberwachung | Windows Antivirus-Richtlinieneinstellungen von Microsoft Defender Antivirus für an Mandanten angefügte Geräte |
Gruppenrichtlinien | Aktivieren der Verhaltensüberwachung | Herunterladen Gruppenrichtlinie Einstellungsreferenztabelle für Windows 11 2023 Update (23H2) |
PowerShell | Set-Preference -DisableBehaviorMonitoring | Set-MpPreference |
WMI | boolescher Wert DisableBehaviorMonitoring; | MSFT_MpPreference-Klasse |
Wenn Sie Microsoft Defender for Business verwenden, lesen Sie Überprüfen oder Bearbeiten Ihrer Schutzrichtlinien der nächsten Generation in Microsoft Defender for Business.
Ändern der Verhaltensüberwachungseinstellungen mithilfe von PowerShell
Verwenden Sie den folgenden Befehl, um die Verhaltensüberwachungseinstellungen zu ändern:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
True
deaktiviert die Verhaltensüberwachung.False
aktiviert die Verhaltensüberwachung.
Weitere Informationen finden Sie unter Set-MpPreference.
Abfragen der status der Verhaltensüberwachung über PowerShell
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
Wenn der zurückgegebene Wert ist true
, ist die Verhaltensüberwachung aktiviert.
Abfragen der verhaltensüberwachung status mithilfe der erweiterten Suche
Sie können die erweiterte Suche (Advanced Hunting, AH) verwenden, um die status der Verhaltensüberwachung abzufragen.
Erfordert Microsoft Defender XDR, Microsoft Defender for Endpoint Plan 2 oder Microsoft Defender for Business.
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
Problembehandlung bei hoher CPU-Auslastung
Erkennungen im Zusammenhang mit der Verhaltensüberwachung beginnen mit "Verhalten".
Wenn Sie eine hohe CPU-Auslastung in MsMpEng.exe
untersuchen, können Sie die Verhaltensüberwachung vorübergehend deaktivieren, um festzustellen, ob die Probleme weiterhin bestehen.
Sie können die Leistungsanalyse für Microsoft Defender Antivirus verwenden, um \path\process, process und/oder dateierweiterungen zu finden, die zur hohen CPU-Auslastung beitragen. Sie können diese Elemente dann dem kontextbezogenen Ausschluss hinzufügen.
Weitere Informationen finden Sie unter Leistungsanalyse für Microsoft Defender Antivirus.
Wenn eine hohe CPU-Auslastung aufgrund der Verhaltensüberwachung auftritt, fahren Sie mit der Problembehandlung fort, indem Sie die folgenden Elemente in der richtigen Reihenfolge zurücksetzen. Aktivieren Sie die Verhaltensüberwachung nach dem Zurücksetzen der einzelnen Elemente erneut, um zu ermitteln, wo das Problem möglicherweise liegt.
- Plattformupdate
- Engine-Update
- Security Intelligence-Update.
Wenn weiterhin Probleme mit hoher CPU-Auslastung auftreten, wenden Sie sich an den Microsoft-Support, und stellen Sie Ihre Client Analyzer-Daten bereit.
Wenn die Verhaltensüberwachung das Problem nicht verursacht, verwenden Sie die Leistungsanalyse für Microsoft Defender Antivirus, um Protokollinformationen zu sammeln. Sammeln Sie zwei verschiedene Protokolle mit a -c
und a -a
. Stellen Sie diese Informationen bereit, wenn Sie sich an den Microsoft-Support wenden.
Weitere Informationen finden Sie unter Datensammlung zur erweiterten Problembehandlung unter Windows.