ניטור אופן פעולה באנטי Microsoft Defender Antivirus

חל על:

• Microsoft Defender עבור תוכנית 1 של נקודת קצה
• Microsoft Defender עבור תוכנית 2 של נקודת קצה
• Microsoft Defender for Business
• Microsoft Defender ליחידים
• האנטי-וירוס של Microsoft Defender

ניטור אופן פעולה הוא פונקציונליות קריטית של זיהוי והגנה של Microsoft Defender אנטי-וירוס.

מנטר את אופן הפעולה של התהליך כדי לזהות ולנתח איומים פוטנציאליים בהתבסס על אופן הפעולה של יישומים, שירותים וקבצים. במקום להסתבסס אך ורק על זיהוי מבוסס חתימה (המזהה דפוסים ידועים של תוכנות זדוניות), ניטור התנהגות מתמקד בזיהוי אופן הפעולה של התוכנה בזמן אמת. זה מה שנו כרוך בפעולות הבאות:

1. Real-Time זיהוי איומים:

   • בחן ברציפות תהליכים, פעילויות מערכת קבצים ואינטראקציות בתוך המערכת.
   • האנטי-וירוס של Defender יכול לזהות דפוסים המשויכים לתוכנות זדוניות או לאיומים אחרים. לדוגמה, הוא מחפש תהליכים שבצעו שינויים חריגים בקבצים קיימים, שינוי או יצירה של מפתחות רישום אתחול אוטומטי (ASEP) ושינויים אחרים במערכת הקבצים או במבנה.

2. גישה דינאמית:

• בניגוד לזיהוי סטטי ומבוסס חתימות, ניטור אופן הפעולה מתאים את עצמו לאיומים חדשים ומתפתחים.

• Microsoft Defender-וירוס משתמש בתבניות מוגדרות מראש, ומבחין באופן הפעולה של התוכנה במהלך הביצוע. עבור תוכנות זדוניות שלא מתאימות לתבנית מוגדרת מראש, תוכנת האנטי Microsoft Defender Antivirus משתמשת בזיהוי חריגות.

• אם תוכנית מציגה אופן פעולה חשוד (לדוגמה, ניסיון לשנות קבצי מערכת קריטיים), תוכנת האנטי-וירוס של Microsoft Defender יכולה לפעול כדי למנוע נזק נוסף ולה להחזיר כמה פעולות קודמות של תוכנות זדוניות.

ניטור אופן פעולה משפר את היכולת של האנטי-וירוס של Defender לזהות באופן יזום איומים מתפתחים על-ידי התמקדות בפעולות וב אופני פעולה בזמן אמת במקום להשתמש אך ורק בחתימות ידועות.

התכונות הבאות תלויות בניטור אופן פעולה.

נגד תוכנות זדוניות:

• מחוונים, קוד Hash של קובץ, התרה/חסימה

הגנת רשת:

• מחוונים, כתובת IP/כתובת URL, אפשר/בלוק
• סינון תוכן אינטרנט, התרה/חסימה

הערה

ניטור אופן הפעולה מוגן על-ידי הגנה מפני טיפול שלא כדין.

כדי לבטל באופן זמני את ניטור אופן הפעולה כדי להסיר אותו מהתמונה, תחילה ברצונך להפוך את מצב פתרון בעיות לזמין, להפוך הגנה מפני טיפול שלא כדין ללא זמינה ולאחר מכן לבטל את ניטור אופן הפעולה.

שינוי מדיניות ניטור אופן הפעולה

הטבלה הבאה מציגה את הדרכים השונות לקבוע תצורה של ניטור אופן פעולה.

כלי ניהול	Name	קישורים
ניהול הגדרות אבטחה	אפשר ניטור אופן פעולה	מאמר זה
Intune	אפשר ניטור אופן פעולה	הגדרות מדיניות האנטי-וירוס של Windows עבור Microsoft Defender אנטי-וירוס עבור Intune
Csp	AllowBehaviorMonitoring	ספק פתרונות ענן (CSP) של מדיניות Defender
Configuration Manager דייר חדש	הפעל ניטור אופן פעולה	הגדרות מדיניות האנטי-וירוס של Windows Microsoft Defender אנטי-וירוס עבור מכשירים מצורפים לדייר
מדיניות קבוצתית	הפעל ניטור אופן פעולה	הורד מדיניות קבוצתית אלקטרוני לעיון בהגדרות Windows 11 עדכון 2023 (23H2)
PowerShell	Set-Preference -DisableBehaviorMonitoring	Set-MpPreference
Wmi	DisableBehaviorMonitoring בוליאני;	MSFT_MpPreference כיתה

אם אתה משתמש Microsoft Defender for Business, ראה סקירה או עריכה של מדיניות ההגנה מהדור הבא ב- Microsoft Defender for Business.

שינוי הגדרות הניטור של אופן הפעולה באמצעות PowerShell

השתמש בפקודה הבאה כדי לשנות את הגדרות ניטור אופן הפעולה:

Set-MpPreference -DisableBehaviorMonitoring <true | false>

• True הופך את ניטור אופן הפעולה ללא זמין.
• False מאפשר ניטור אופן פעולה.

לקבלת מידע נוסף, ראה Set-MpPreference.

ביצוע שאילתה על מצב ניטור אופן הפעולה מ- PowerShell

Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled

אם הערך המוחזר הוא true, ניטור אופן פעולה זמין.

ביצוע שאילתה על מצב ניטור אופן הפעולה באמצעות 'ציד מתקדם'

באפשרותך להשתמש ב'ציד מתקדם' (AH) כדי לבצע שאילתה על המצב של ניטור אופן פעולה.

דורש Microsoft Defender XDR, Microsoft Defender עבור נקודת קצה תוכנית 2 או Microsoft Defender for Business.

let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc

פתרון בעיות של שימוש גבוה ב- CPU

זיהויים הקשורים לניטור אופן פעולה מתחילים ב"אופן פעולה".

בעת חקירה של שימוש גבוה ב- CPU ב MsMpEng.exe- , באפשרותך לבטל באופן זמני את ניטור אופן הפעולה כדי לראות אם הבעיות ממשיכות.

באפשרותך להשתמש במנתח הביצועים עבור Microsoft Defender אנטי-וירוס כדי למצוא \path\process, process ו/או סיומות קבצים תורמות לניצול גבוה של המעבד. לאחר מכן תוכל להוסיף פריטים אלה לאי-הכללה הקשרית.

לקבלת מידע נוסף, ראה מנתח הביצועים עבור Microsoft Defender אנטי-וירוס.

אם אתה רואה שימוש גבוה ב- CPU הנגרם על-ידי ניטור אופן פעולה, המשך לפתור את הבעיה על-ידי החזרת כל אחד מהפריטים הבאים לפי הסדר. הפעל מחדש את ניטור אופן הפעולה לאחר החזרת כל פריט כדי לזהות היכן עשויה להיות הבעיה.

1. עדכון פלטפורמה
2. עדכון מנוע
3. עדכון בינת אבטחה.

אם אתה עדיין נתקל בבעיות שימוש גבוהות ב- CPU, פנה לתמיכה של Microsoft והכן את נתוני מנתח הלקוחות שלך.

אם ניטור אופן הפעולה אינו גורם לבעיה, השתמש במנתח הביצועים כדי Microsoft Defender אנטי-וירוס כדי לאסוף פרטי יומן רישום. אסוף שני יומני רישום שונים באמצעות a -c ו- a -a. הכן מידע זה כאשר ת לפנות לתמיכה של Microsoft.

לקבלת מידע נוסף, ראה איסוף נתונים לפתרון בעיות מתקדם ב- Windows.