Ügyfélszámítógép működésének blokkolása
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender XDR
- Microsoft Defender víruskereső
Platform
- A Windows
Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra
Áttekintés
Az ügyfélviselkedés blokkolása a végponthoz készült Defender viselkedésblokkoló és -elszigetelési képességeinek összetevője. Mivel az eszközökön (más néven ügyfeleken vagy végpontokon) gyanús viselkedés észlelhető, a rendszer automatikusan letiltja, ellenőrzi és szervizeli az összetevőket (például fájlokat vagy alkalmazásokat).
A víruskereső védelem a felhővédelemmel párosítva működik a legjobban.
Az ügyfél viselkedésének blokkolása
Microsoft Defender víruskereső képes észlelni a gyanús viselkedést, a rosszindulatú kódot, a fájl nélküli és memóriabeli támadásokat és egyebeket az eszközön. Gyanús viselkedés észlelésekor Microsoft Defender víruskereső figyeli a gyanús viselkedéseket és azok folyamatfáit a felhővédelmi szolgáltatásnak. A gépi tanulás megkülönbözteti a kártékony alkalmazásokat és a jó viselkedést ezredmásodperceken belül, és osztályozza az egyes összetevőket. Szinte valós időben, amint egy összetevőről kiderül, hogy rosszindulatú, le lesz tiltva az eszközön.
Ha gyanús viselkedést észlel, a rendszer riasztást hoz létre, amely látható a támadás észlelése és leállítása során; riasztások, például a "kezdeti hozzáférési riasztás" aktiválódnak, és megjelennek a Microsoft Defender portálon (korábbi nevén Microsoft Defender XDR).
Az ügyfélviselkedés blokkolása azért hatékony, mert nem csak a támadás indításának megelőzésében segít, hanem a már megkezdett támadások leállításában is. A visszajelzési ciklus blokkolásával (a viselkedési blokkolás és a visszatartó képesség egy másik képessége) a szervezet más eszközein is megakadályozható a támadások.
Viselkedésalapú észlelések
A viselkedésalapú észlelések elnevezése a MITRE ATT&Nagyvállalati CK-mátrix alapján van elnevezve. Az elnevezési konvenció segít azonosítani azt a támadási szakaszt, ahol a rosszindulatú viselkedést megfigyelték:
| Taktika | Észlelési fenyegetés neve |
|---|---|
| Kezdeti hozzáférés | Behavior:Win32/InitialAccess.*!ml |
| Végrehajtás | Behavior:Win32/Execution.*!ml |
| Kitartás | Behavior:Win32/Persistence.*!ml |
| Jogosultságok eszkalálása | Behavior:Win32/PrivilegeEscalation.*!ml |
| Védelem kijátszása | Behavior:Win32/DefenseEvasion.*!ml |
| Hitelesítő adatokhoz való hozzáférés | Behavior:Win32/CredentialAccess.*!ml |
| Felfedezés | Behavior:Win32/Discovery.*!ml |
| Oldalirányú mozgás | Behavior:Win32/LateralMovement.*!ml |
| Gyűjtemény | Behavior:Win32/Collection.*!ml |
| Parancs és vezérlés | Behavior:Win32/CommandAndControl.*!ml |
| Kiszivárgás | Behavior:Win32/Exfiltration.*!ml |
| Hatása | Behavior:Win32/Impact.*!ml |
| Uncategorized | Behavior:Win32/Generic.*!ml |
Tipp
Az adott fenyegetésekkel kapcsolatos további információkért lásd a legutóbbi globális fenyegetéstevékenységet.
Ügyfélviselkedési blokkolás konfigurálása
Ha a szervezet a Végponthoz készült Defendert használja, az ügyfél viselkedésének blokkolása alapértelmezés szerint engedélyezve van. Ahhoz azonban, hogy kihasználhassa a Végponthoz készült Defender összes funkciójának előnyeit, beleértve a viselkedési blokkolást és az elszigetelést, győződjön meg arról, hogy a Végponthoz készült Defender alábbi funkciói és képességei engedélyezve vannak és konfigurálva vannak:
- Végponthoz készült Defender alapkonfigurációi
- A Végponthoz készült Defenderbe előkészített eszközök
- EDR blokkmódban
- Támadásifelület-csökkentés
- Következő generációs védelem (víruskereső, kártevőirtó és egyéb veszélyforrások elleni védelmi képességek)
Tipp
Ha más platformokra vonatkozó, víruskeresővel kapcsolatos információkat keres, lásd:
- Végponthoz készült Microsoft Defender beállítása macOS rendszeren
- Végponthoz készült Microsoft Defender Macen
- MacOS víruskereső házirend-beállításai az Intune-hoz készült Microsoft Defender víruskeresőhöz
- Végponthoz készült Microsoft Defender beállítása Linux rendszeren
- Végponthoz készült Microsoft Defender Linuxon
- Végponthoz készült Defender konfigurálása Android-funkciókon
- Végponthoz készült Microsoft Defender konfigurálása iOS-funkciókon
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: