Viselkedésfigyelési bemutató

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender Vállalati verzió
• Végponthoz készült Microsoft Defender 1. csomag
• Microsoft Defender víruskereső
• Microsoft Defender egyéni felhasználók számára

A Microsoft Defender víruskereső viselkedésmonitorozása az alkalmazások, szolgáltatások és fájlok viselkedése alapján figyeli a lehetséges fenyegetések észlelését és elemzését. Ahelyett, hogy kizárólag a tartalomegyeztetésre támaszkodunk, amely azonosítja az ismert kártevőmintákat, a viselkedésfigyelés a szoftver valós idejű viselkedésének megfigyelésére összpontosít.

Forgatókönyv követelményei és beállítása

• Ez a bemutató csak macOS rendszeren fut
• A Microsoft Defender valós idejű védelme engedélyezve van
• A viselkedésfigyelés engedélyezve van

Ellenőrizze, hogy a Microsoft Defender valós idejű védelme engedélyezve van-e

A valós idejű védelem (RTP) engedélyezésének ellenőrzéséhez nyisson meg egy terminálablakot, és másolja és hajtsa végre a következő parancsot:

mdatp health --field real_time_protection_enabled

Ha az RTP engedélyezve van, az eredmény 1 értéket jelenít meg.

A Végponthoz készült Microsoft Defender viselkedésfigyelésének engedélyezése

A Végponthoz készült Defender viselkedésmonitorozásának engedélyezéséről az üzembehelyezési útmutatóban talál további információt.

A viselkedésfigyelés működésének bemutatása

Annak bemutatása, hogy a viselkedésfigyelés hogyan blokkolja a hasznos adatokat:

1. Bash-szkript létrehozása szkript/szövegszerkesztő használatával, például nano vagy Visual Studio Code (VS Code):

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Mentés BM_test.sh

3. Futtassa a következő parancsot a Bash-szkript végrehajthatóvá tétele érdekében:

   sudo chmod u+x BM_test.sh
   

4. Futtassa a bash szkriptet:

sudo bash BM_test.sh

Az eredmény a következő:

zsh: megölte sudo bash BM_test.sh

A fájlt a végponthoz készült Defender karanténba helyezte macOS rendszeren. Az alábbi paranccsal listázhatja az összes észlelt fenyegetést:

mdatp threat list

Az eredmény a következő:

Azonosító: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Név: Viselkedés: MacOS/MacOSChangeFileTest

Típus: "viselkedés"

Észlelési idő: Kedd 2024. május 7. 20:23:41

Állapot: "karanténba helyezve"

Ha a Végponthoz készült Microsoft Defender P2/P1 vagy a Microsoft Defender Vállalati verzió van használatban, nyissa meg a Microsoft Defender XDR portált, és a következő nevű riasztást fogja látni: "A gyanús "MacOSChangeFileTest" viselkedés le lett tiltva."