Toiminnan seurannan esittely
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defenderin virustentorjunta
- Microsoft Defender yksityishenkilöille
Toiminnan valvonta Microsoft Defenderin virustentorjuntaohjelmassa valvoo prosessin toimintaa tunnistaakseen ja analysoidakseen mahdollisia uhkia sovellusten, palveluiden ja tiedostojen käyttäytymisen perusteella. Sen sijaan, että luottaisit pelkästään sisällön vastaavuuksien hakuun, joka tunnistaa tunnetut haittaohjelmamallit, käyttäytymisvalvonta keskittyy tarkkailemaan, miten ohjelmisto käyttäytyy reaaliaikaisesti.
Skenaariovaatimukset ja määritys
- Tämä esittely suoritetaan vain macOS:ssä
- Microsoft Defender reaaliaikainen suojaus on käytössä
- Toiminnan valvonta on käytössä
Varmista, että Microsoft Defenderin reaaliaikainen suojaus on käytössä
Jos haluat varmistaa, että reaaliaikainen suojaus (RTP) on käytössä, avaa pääteikkuna ja kopioi ja suorita seuraava komento:
mdatp health --field real_time_protection_enabled
Kun RTP on käytössä, tulos näyttää arvon 1.
Microsoft Defender for Endpointin toiminnan seurannan ottaminen käyttöön
Lisätietoja siitä, miten voit ottaa käyttöön toiminnan seurannan Defenderille päätepisteelle, on artikkelissa Käyttöönotto-ohjeet.
Toiminnan seurannan toiminnan esittely
Jos haluat osoittaa, miten toiminnan valvonta estää hyötykuorman:
Luo bash-komentosarja käyttämällä komentosarjaa/tekstieditoria, kuten nanoa tai Visual Studio Codea (VS Code):
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5
Tallenna BM_test.sh
Suorita seuraava komento, jos haluat tehdä bash-komentosarjasta suoritettavan:
sudo chmod u+x BM_test.sh
Suorita bash-komentosarja:
sudo bash BM_test.sh
Tulos näyttää:
zsh: killed sudo bash BM_test.sh
Defender on asettanut tiedoston karanteeniin macOS:n päätepisteelle. Luettele kaikki havaitut uhat seuraavan komennon avulla:
mdatp threat list
Tulos näyttää:
TUNNUS: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
Nimi: Toiminta: MacOS/MacOSChangeFileTest
Tyyppi: "behavior"
Tunnistamisaika: Ti 7.5.20:23:41 2024
Tila: "karanteeniin asetettu"
Jos käytössäsi on Microsoft Defender for Endpoint P2/P1 tai Microsoft Defender for Business, siirry Microsoft Defender XDR -portaaliin ja näet ilmoituksen nimeltä "Epäilyttävä MacOSChangeFileTest-toiminta on estetty."
Palaute
https://aka.ms/ContentUserFeedback.
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä:Lähetä ja näytä palaute kohteelle