Client-Verhaltensblockierung
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Plattform
- Windows
Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion
Übersicht
Die Clientverhaltensblockierung ist eine Komponente der Verhaltensblockierungs- und Einschlussfunktionen in Defender für Endpunkt. Wenn verdächtiges Verhalten auf Geräten (auch als Clients oder Endpunkte bezeichnet) erkannt wird, werden Artefakte (z. B. Dateien oder Anwendungen) automatisch blockiert, überprüft und behoben.
Der Antivirenschutz funktioniert am besten, wenn er mit Cloudschutz gekoppelt ist.
Funktionsweise des Clientverhaltensblockings
Microsoft Defender Antivirus kann verdächtiges Verhalten, schädlichen Code, dateilose angriffe und In-Memory-Angriffe und vieles mehr auf einem Gerät erkennen. Wenn verdächtiges Verhalten erkannt wird, überwacht und sendet Microsoft Defender Antivirus diese verdächtigen Verhaltensweisen und ihre Prozessstrukturen an den Cloudschutzdienst. Maschinelles Lernen unterscheidet innerhalb von Millisekunden zwischen schädlichen Anwendungen und guten Verhaltensweisen und klassifiziert jedes Artefakt. Sobald ein Artefakt als schädlich eingestuft wird, wird es nahezu in Echtzeit auf dem Gerät blockiert.
Wenn ein verdächtiges Verhalten erkannt wird, wird eine Warnung generiert und ist sichtbar, während der Angriff erkannt und beendet wurde. Warnungen, z. B. eine "Warnung für den ersten Zugriff", werden ausgelöst und im Microsoft Defender-Portal (früher Microsoft Defender XDR) angezeigt.
Die Blockierung des Clientverhaltens ist effektiv, da sie nicht nur den Start eines Angriffs verhindert, sie kann auch dazu beitragen, einen Angriff zu stoppen, der mit der Ausführung begonnen hat. Und mit der Blockierung von Feedbackschleifen (eine weitere Funktion der Verhaltensblockierung und -eindämmung) werden Angriffe auf andere Geräte in Ihrem organization verhindert.
Verhaltensbasierte Erkennungen
Verhaltensbasierte Erkennungen werden gemäß der MITRE ATT&CK Matrix for Enterprise benannt. Die Namenskonvention hilft dabei, die Angriffsphase zu identifizieren, in der das schädliche Verhalten beobachtet wurde:
| Taktik | Name der Bedrohungserkennung |
|---|---|
| Erstzugriff | Behavior:Win32/InitialAccess.*!ml |
| Ausführung | Behavior:Win32/Execution.*!ml |
| Persistenz | Behavior:Win32/Persistence.*!ml |
| Rechteausweitung | Behavior:Win32/PrivilegeEscalation.*!ml |
| Verteidigungsumgehung | Behavior:Win32/DefenseEvasion.*!ml |
| Zugriff auf Anmeldeinformationen | Behavior:Win32/CredentialAccess.*!ml |
| Suche | Behavior:Win32/Discovery.*!ml |
| Laterale Bewegung | Behavior:Win32/LateralMovement.*!ml |
| Sammlung | Behavior:Win32/Collection.*!ml |
| Befehl und Steuerung | Behavior:Win32/CommandAndControl.*!ml |
| Exfiltration | Behavior:Win32/Exfiltration.*!ml |
| Auswirkung | Behavior:Win32/Impact.*!ml |
| Uncategorized | Behavior:Win32/Generic.*!ml |
Tipp
Weitere Informationen zu bestimmten Bedrohungen finden Sie unter Aktuelle globale Bedrohungsaktivitäten.
Konfigurieren der Clientverhaltensblockierung
Wenn Ihr organization Defender für Endpunkt verwendet, ist das Blockieren des Clientverhaltens standardmäßig aktiviert. Um jedoch von allen Defender für Endpunkt-Funktionen zu profitieren, einschließlich Verhaltensblockierung und -eindämmung, stellen Sie sicher, dass die folgenden Features und Funktionen von Defender für Endpunkt aktiviert und konfiguriert sind:
- Baselines für Defender für Endpunkt
- In Defender für Endpunkt integrierte Geräte
- EDR im Blockmodus
- Verringerung der Angriffsfläche
- Schutz der nächsten Generation (Antiviren-, Antischadsoftware- und andere Bedrohungsschutzfunktionen)
Tipp
Wenn Sie nach Informationen zu Antivirensoftware für andere Plattformen suchen, lesen Sie:
- Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter macOS
- Microsoft Defender für Endpunkt für Mac
- macOS Antivirus-Richtlinieneinstellungen für Microsoft Defender Antivirus für Intune
- Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter Linux
- Microsoft Defender für Endpunkt unter Linux
- Konfigurieren von Defender für Endpunkt unter Android-Features
- Konfigurieren von Microsoft Defender für Endpunkt unter iOS-Features
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für