Blocco e secondo dati comportamentali del client
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
- Antivirus Microsoft Defender
Piattaforma
- Windows
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Panoramica
Il blocco comportamentale del client è un componente delle funzionalità di blocco e contenimento comportamentali in Defender per endpoint. Quando vengono rilevati comportamenti sospetti nei dispositivi (detti anche client o endpoint), gli artefatti (ad esempio file o applicazioni) vengono bloccati, controllati e corretti automaticamente.
La protezione antivirus funziona meglio se associata alla protezione cloud.
Funzionamento del blocco comportamentale del client
Microsoft Defender Antivirus può rilevare comportamenti sospetti, codice dannoso, attacchi fileless e in memoria e altro ancora in un dispositivo. Quando vengono rilevati comportamenti sospetti, Microsoft Defender Antivirus monitora e invia tali comportamenti sospetti e i relativi alberi dei processi al servizio di protezione cloud. Machine Learning distingue tra applicazioni dannose e comportamenti validi entro millisecondi e classifica ogni artefatto. In tempo quasi reale, non appena un artefatto risulta dannoso, viene bloccato nel dispositivo.
Ogni volta che viene rilevato un comportamento sospetto, viene generato un avviso ed è visibile mentre l'attacco è stato rilevato e arrestato; Gli avvisi, ad esempio un "avviso di accesso iniziale", vengono attivati e visualizzati nel portale di Microsoft Defender (in precedenza Microsoft Defender XDR).
Il blocco comportamentale del client è efficace perché non solo aiuta a impedire l'avvio di un attacco, ma può aiutare a fermare un attacco che ha iniziato l'esecuzione. Inoltre, con il blocco del ciclo di feedback (un'altra funzionalità di blocco e contenimento comportamentale), gli attacchi vengono impediti ad altri dispositivi dell'organizzazione.
Rilevamenti basati sul comportamento
I rilevamenti basati sul comportamento vengono denominati in base a MITRE ATT&matrice CK per l'organizzazione. La convenzione di denominazione consente di identificare la fase di attacco in cui è stato osservato il comportamento dannoso:
| Tattica | Nome della minaccia di rilevamento |
|---|---|
| Accesso iniziale | Behavior:Win32/InitialAccess.*!ml |
| Esecuzione | Behavior:Win32/Execution.*!ml |
| Persistenza | Behavior:Win32/Persistence.*!ml |
| Escalation dei privilegi | Behavior:Win32/PrivilegeEscalation.*!ml |
| Evasione delle difese | Behavior:Win32/DefenseEvasion.*!ml |
| Accesso alle credenziali | Behavior:Win32/CredentialAccess.*!ml |
| Individuazione | Behavior:Win32/Discovery.*!ml |
| Movimento laterale | Behavior:Win32/LateralMovement.*!ml |
| Raccolta | Behavior:Win32/Collection.*!ml |
| Comando e controllo | Behavior:Win32/CommandAndControl.*!ml |
| Sottrazione di dati | Behavior:Win32/Exfiltration.*!ml |
| Impatto | Behavior:Win32/Impact.*!ml |
| Uncategorized | Behavior:Win32/Generic.*!ml |
Consiglio
Per altre informazioni sulle minacce specifiche, vedere attività recenti sulle minacce globali.
Configurazione del blocco comportamentale del client
Se l'organizzazione usa Defender per endpoint, il blocco comportamentale del client è abilitato per impostazione predefinita. Tuttavia, per sfruttare tutte le funzionalità di Defender per endpoint, incluso il blocco e il contenimento del comportamento, assicurarsi che le funzionalità e le funzionalità seguenti di Defender per endpoint siano abilitate e configurate:
- Baseline di Defender per endpoint
- Dispositivi caricati in Defender per endpoint
- EdR in modalità blocco
- Riduzione della superficie di attacco
- Protezione di nuova generazione (antivirus, antimalware e altre funzionalità di protezione dalle minacce)
Consiglio
Se si cercano informazioni correlate all'antivirus per altre piattaforme, vedere:
- Impostare le preferenze per Microsoft Defender per endpoint su macOS
- Microsoft Defender per endpoint su Mac
- Impostazioni dei criteri antivirus macOS per Antivirus Microsoft Defender per Intune
- Impostare le preferenze per Microsoft Defender per endpoint su Linux
- Microsoft Defender per Endpoint su Linux
- Funzionalità di configurazione di Microsoft Defender per endpoint su Android
- Funzionalità di configurazione di Microsoft Defender per endpoint su iOS
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.