שתף באמצעות

הדגמה של ניטור אופן פעולה

  • מאמר

חל על:

ניטור אופן פעולה באנטי-וירוס של Microsoft Defender מנטר את אופן הפעולה של התהליך כדי לזהות ולנתח איומים פוטנציאליים בהתבסס על אופן הפעולה של אפליקציות, שירותים וקבצים. במקום להסתכם אך ורק על התאמת תוכן, המזהה דפוסים ידועים של תוכנות זדוניות, ניטור התנהגות מתמקד בזיהום אופן הפעולה של התוכנה בזמן אמת.

דרישות והגדרה של תרחישים

ודא שההגנה בזמן אמת של Microsoft Defender זמינה

כדי לוודא שהגנה בזמן אמת (RTP) זמינה, פתח חלון מסוף והעתק ובצע את הפקודה הבאה:

mdatp health --field real_time_protection_enabled

כאשר RTP זמין, התוצאה מציגה ערך של 1.

הפוך ניטור אופן פעולה לזמין עבור Microsoft Defender עבור נקודת קצה

לקבלת מידע נוסף אודות הפיכת ניטור אופן הפעולה לזמין עבור Defender for Endpoint, ראה הוראות פריסה.

הדגמה של אופן הפעולה של ניטור התנהגות

כדי להדגים כיצד ניטור אופן הפעולה חוסם תוכן מנה:

  1. צור קובץ Script של Bash באמצעות עורך קובץ Script/טקסט כגון nano או Visual Studio Code (VS Code):

    #! /usr/bin/bash
echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
sleep 5

  2. שמירה בשם BM_test.sh

  3. הפעל את הפקודה הבאה כדי להפוך את קובץ ה- Script של bash לניתן להפעלה:

    sudo chmod u+x BM_test.sh

  4. הפעל את קובץ ה- Script של Bash:

sudo bash BM_test.sh

התוצאה מציגה:

zsh: נהרג סודו bash BM_test.sh

הקובץ הועבר להסגר על-ידי Defender for Endpoint ב- macOS. השתמש בפקודה הבאה כדי להציג רשימה של כל האיומים שזוהו:

mdatp threat list

התוצאה מציגה:

מזהה: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx"

שם: אופן פעולה: MacOS/MacOSChangeFileTest

סוג: "אופן פעולה"

זמן זיהוי: ג' מאי 7 20:23:41 2024

מצב: "בהסגר"

אם יש לך Microsoft Defender for Endpoint P2/P1 או Microsoft Defender for Business, עבור אל פורטל XDR של Microsoft Defender, ותשמע התראה בשם: "התנהגות חשודה של 'MacOSChangeFileTest' נחסמה".