Jaa


Toiminnan seurannan esittely

Koskee seuraavia:

Toiminnan valvonta Microsoft Defender virustentorjunta valvoo prosessin toimintaa tunnistaakseen ja analysoidakseen mahdollisia uhkia sovellusten, palveluiden ja tiedostojen käyttäytymisen perusteella. Sen sijaan, että luottaisit pelkästään sisällön vastaavuuksien hakuun, joka tunnistaa tunnetut haittaohjelmamallit, käyttäytymisvalvonta keskittyy tarkkailemaan, miten ohjelmisto käyttäytyy reaaliaikaisesti.

Skenaariovaatimukset ja määritys

Varmista Microsoft Defender reaaliaikainen suojaus on käytössä

Jos haluat varmistaa, että reaaliaikainen suojaus (RTP) on käytössä, avaa pääteikkuna ja kopioi ja suorita seuraava komento:

mdatp health --field real_time_protection_enabled

Kun RTP on käytössä, tulos näyttää arvon 1.

Ota Microsoft Defender for Endpoint käyttöön toiminnan valvonta

Lisätietoja siitä, miten voit ottaa käyttöön toiminnan seurannan Defenderille päätepisteelle, on artikkelissa Käyttöönotto-ohjeet.

Toiminnan seurannan toiminnan esittely

Jos haluat osoittaa, miten toiminnan valvonta estää hyötykuorman:

  1. Create bash-komentosarjan käyttämällä komentosarjaa/tekstieditoria, kuten nanoa tai Visual Studio Codea (VS Code):
#! /usr/bin/bash
echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt 
echo " " >>  /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt 
sleep 5
  1. Tallenna BM_test.sh
  2. Suorita seuraava komento, jos haluat tehdä bash-komentosarjasta suoritettavan.
sudo chmod u+x BM_test.sh
  1. . Suorita bash-komentosarja
sudo bash BM_test.sh

Tulos näyttää:

zsh: killed sudo bash BM_test.sh

Defender on asettanut tiedoston karanteeniin macOS:n päätepisteelle. Luettele kaikki havaitut uhat seuraavan komennon avulla:

mdatp threat list

Tulos näyttää:

TUNNUS: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Nimi: Toiminta: MacOS/MacOSChangeFileTest

Tyyppi: "behavior"

Tunnistamisaika: Ti 7.5.20:23:41 2024

Tila: "karanteeniin asetettu"

Jos sinulla on Microsoft Defender for Endpoint P2/P1 tai Microsoft Defender for Business, siirry Microsoft Defender XDR portaaliin ja näet ilmoituksen nimeltä "Epäilyttävä MacOSChangeFileTest-toiminta estettiin."