Jaa


Toiminnan seurannan esittely

Koskee seuraavia:

Toiminnan valvonta Microsoft Defenderin virustentorjuntaohjelmassa valvoo prosessin toimintaa tunnistaakseen ja analysoidakseen mahdollisia uhkia sovellusten, palveluiden ja tiedostojen käyttäytymisen perusteella. Sen sijaan, että luottaisit pelkästään sisällön vastaavuuksien hakuun, joka tunnistaa tunnetut haittaohjelmamallit, käyttäytymisvalvonta keskittyy tarkkailemaan, miten ohjelmisto käyttäytyy reaaliaikaisesti.

Skenaariovaatimukset ja määritys

Varmista, että Microsoft Defenderin reaaliaikainen suojaus on käytössä

Jos haluat varmistaa, että reaaliaikainen suojaus (RTP) on käytössä, avaa pääteikkuna ja kopioi ja suorita seuraava komento:

mdatp health --field real_time_protection_enabled

Kun RTP on käytössä, tulos näyttää arvon 1.

Microsoft Defender for Endpointin toiminnan seurannan ottaminen käyttöön

Lisätietoja siitä, miten voit ottaa käyttöön toiminnan seurannan Defenderille päätepisteelle, on artikkelissa Käyttöönotto-ohjeet.

Toiminnan seurannan toiminnan esittely

Jos haluat osoittaa, miten toiminnan valvonta estää hyötykuorman:

  1. Luo bash-komentosarja käyttämällä komentosarjaa/tekstieditoria, kuten nanoa tai Visual Studio Codea (VS Code):

    #! /usr/bin/bash
    echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
    echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
    sleep 5
    
  2. Tallenna BM_test.sh

  3. Suorita seuraava komento, jos haluat tehdä bash-komentosarjasta suoritettavan:

    sudo chmod u+x BM_test.sh
    
  4. Suorita bash-komentosarja:

sudo bash BM_test.sh

Tulos näyttää:

zsh: killed sudo bash BM_test.sh

Defender on asettanut tiedoston karanteeniin macOS:n päätepisteelle. Luettele kaikki havaitut uhat seuraavan komennon avulla:

mdatp threat list

Tulos näyttää:

TUNNUS: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Nimi: Toiminta: MacOS/MacOSChangeFileTest

Tyyppi: "behavior"

Tunnistamisaika: Ti 7.5.20:23:41 2024

Tila: "karanteeniin asetettu"

Jos käytössäsi on Microsoft Defender for Endpoint P2/P1 tai Microsoft Defender for Business, siirry Microsoft Defender XDR -portaaliin ja näet ilmoituksen nimeltä "Epäilyttävä MacOSChangeFileTest-toiminta on estetty."