Verhaltensüberwachungsdemonstration
Gilt für:
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender für Unternehmen
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender Antivirus
- Microsoft Defender for Individuals
Die Verhaltensüberwachung in Microsoft Defender Antivirus überwacht das Prozessverhalten, um potenzielle Bedrohungen basierend auf dem Verhalten von Anwendungen, Diensten und Dateien zu erkennen und zu analysieren. Anstatt sich ausschließlich auf den Inhaltsabgleich zu verlassen, der bekannte Schadsoftwaremuster identifiziert, konzentriert sich die Verhaltensüberwachung darauf, zu beobachten, wie sich Software in Echtzeit verhält.
Szenarioanforderungen und Einrichtung
- Diese Demo wird nur unter macOS ausgeführt.
- Microsoft Defender-Echtzeitschutz ist aktiviert
- Die Verhaltensüberwachung ist aktiviert.
Überprüfen, ob der Microsoft Defender-Echtzeitschutz aktiviert ist
Um zu überprüfen, ob der Echtzeitschutz (Real-Time Protection, RTP) aktiviert ist, öffnen Sie ein Terminalfenster, kopieren Und führen Sie den folgenden Befehl aus:
mdatp health --field real_time_protection_enabled
Wenn RTP aktiviert ist, zeigt das Ergebnis den Wert 1 an.
Aktivieren der Verhaltensüberwachung für Microsoft Defender für Endpunkt
Weitere Informationen zum Aktivieren der Verhaltensüberwachung für Defender für Endpunkt finden Sie unter Bereitstellungsanweisungen.
Demonstration der Funktionsweise der Verhaltensüberwachung
So veranschaulichen Sie, wie die Verhaltensüberwachung eine Nutzlast blockiert:
Erstellen Sie ein Bash-Skript mit einem Skript-/Text-Editor wie nano oder Visual Studio Code (VS Code):
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5Speichern unter BM_test.sh
Führen Sie den folgenden Befehl aus, um das Bash-Skript ausführbar zu machen:
sudo chmod u+x BM_test.shFühren Sie das Bash-Skript aus:
sudo bash BM_test.sh
Das Ergebnis zeigt Folgendes an:
zsh: killed sudo bash BM_test.sh
Die Datei wurde von Defender für Endpunkt unter macOS unter Quarantäne gesetzt. Verwenden Sie den folgenden Befehl, um alle entdeckten Bedrohungen aufzulisten:
mdatp threat list
Das Ergebnis zeigt Folgendes an:
ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"
Name: Verhalten: macOS/macOSChangeFileTest
Typ: "behavior"
Erkennungszeit: Di 7 Mai 20:23:41 2024
Status: "unter Quarantäne"
Wenn Sie über Microsoft Defender für Endpunkt P2/P1 oder Microsoft Defender for Business verfügen, wechseln Sie zum Microsoft Defender XDR-Portal, und Es wird eine Warnung mit dem Folgenden angezeigt: "Verdächtiges 'MacOSChangeFileTest'-Verhalten wurde blockiert" angezeigt.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für