חסימה התנהגותית של לקוח
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
- האנטי-וירוס של Microsoft Defender
פלטפורמה
- Windows
רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
סקירה כללית
חסימה התנהגותית של לקוח היא רכיב של יכולות חסימה וכלה התנהגותיות ב - Defender for Endpoint. כאשר אופני פעולה חשודים מזוהים במכשירים (הנקראים גם לקוחות או נקודות קצה), פריטים חזותיים (כגון קבצים או יישומים) נחסמים, מסומנים ומתווכים באופן אוטומטי.
הגנת אנטי-וירוס פועלת בצורה הטובה ביותר כאשר היא מקושרת להגנה בענן.
כיצד פועלת חסימה התנהגותית של לקוח
Microsoft Defender אנטי-וירוס יכול לזהות התנהגות חשודה, קוד זדוני, התקפות ללא קבצים ותוכנות בתוך הזיכרון ועוד במכשיר. כאשר זוהו אופני פעולה חשודים, Microsoft Defender האנטי-וירוס מנטר ושולח את אופני הפעולה החשודים ואת עצי התהליך שלהם לשירות ההגנה על הענן. למידת מכונה מבדילה בין אפליקציות זדוניות לבין אופני פעולה טובים באלפיות שניה, והיא מסווגת כל ממצא. בזמן כמעט אמת, ברגע שנמצא שהחפץ זדוני, הוא נחסם במכשיר.
בכל פעם שזוהתה התנהגות חשודה, נוצרת התראה והיא גלויה בזמן שהתקיפה זוהתה ונעצרה; התראות, כגון "התראת גישה ראשונית", מופעלות ומופיעות בפורטל Microsoft Defender (לשעבר Microsoft Defender XDR).
חסימה התנהגותית של לקוח יעילה מכיוון שזה לא רק עוזר למנוע ממתקפה להתחיל, היא יכולה לעזור לעצור מתקפה שהחלה בביצוע. כמו כן, עם חסימת לולאת משוב (יכולת אחרת של חסימה וה כלולה התנהגותיים), תקיפות נמנעות במכשירים אחרים בארגון שלך.
זיהויים מבוססי אופן פעולה
זיהויים מבוססי אופן פעולה נקראים בהתאם ל- MITRE ATT&CK עבור Enterprise. מוסכמת מתן השמות מסייעת לזהות את שלב התקיפה שבו נצפתה התנהגות זדונית:
טקטיקה | שם איום זיהוי |
---|---|
גישה ראשונית | Behavior:Win32/InitialAccess.*!ml |
ביצוע | Behavior:Win32/Execution.*!ml |
התמדה | Behavior:Win32/Persistence.*!ml |
הסלמת הרשאות | Behavior:Win32/PrivilegeEscalation.*!ml |
התחמקות הגנה | Behavior:Win32/DefenseEvasion.*!ml |
גישה לאישורים | Behavior:Win32/CredentialAccess.*!ml |
גילוי | Behavior:Win32/Discovery.*!ml |
תנועה רוחבית | Behavior:Win32/LateralMovement.*!ml |
אוסף | Behavior:Win32/Collection.*!ml |
פקודה ופקד | Behavior:Win32/CommandAndControl.*!ml |
הרחבה | Behavior:Win32/Exfiltration.*!ml |
השפעה | Behavior:Win32/Impact.*!ml |
לא מחולק לקטגוריות | Behavior:Win32/Generic.*!ml |
עצה
לקבלת מידע נוסף על איומים ספציפיים, ראה פעילות איומים גלובלית אחרונה.
קביעת תצורה של חסימה התנהגותית של לקוח
אם הארגון שלך משתמש ב- Defender for Endpoint, חסימה התנהגותית של לקוח מופעלת כברירת מחדל. עם זאת, כדי ליהנות מכל היכולות של Defender for Endpoint, כולל חסימה וכלה התנהגותיים , ודא שהתכונות והיכולות הבאות של Defender for Endpoint זמינות ומוגדרות:
- Defender for Endpoint baselines
- מכשירים מחוברים ל- Defender for Endpoint
- EDR במצב חסימה
- צמצום שטח תקיפה
- הגנה מהדור הבא (אנטי-וירוס, תוכנה נגד תוכנות זדוניות ויכולות אחרות של הגנה מפני איומים)
עצה
אם אתה מחפש מידע הקשור לאנטי-וירוס עבור פלטפורמות אחרות, ראה:
- הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- macOS
- Microsoft Defender עבור נקודת קצה ב- Mac
- הגדרות מדיניות אנטי-וירוס של macOS עבור אנטי-וירוס של Microsoft Defender עבור Intune
- הגדרת העדפות עבור Microsoft Defender עבור נקודת קצה ב- Linux
- בעיות בביצועי Microsoft Defender עבור נקודת קצה ב- Linux
- קביעת התצורה של Defender עבור נקודת קצה בתכונות Android
- קביעת התצורה של Microsoft Defender עבור נקודת קצה בתכונות iOS
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור