動作監視のデモ
適用対象:
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender ウイルス対策
- Microsoft Defender for Individuals
Microsoft Defender ウイルス対策の動作監視は、アプリケーション、サービス、およびファイルの動作に基づいて潜在的な脅威を検出および分析するために、プロセスの動作を監視します。 既知のマルウェア パターンを識別するコンテンツ マッチングのみに依存するのではなく、動作監視では、ソフトウェアの動作をリアルタイムで監視することに重点を置いています。
シナリオの要件とセットアップ
- このデモは macOS でのみ実行されます
- Microsoft Defender リアルタイム保護が有効になっている
- 動作の監視が有効になっている
Microsoft Defender リアルタイム保護が有効になっていることを確認する
リアルタイム保護 (RTP) が有効になっていることを確認するには、ターミナル ウィンドウを開き、次のコマンドをコピーして実行します。
mdatp health --field real_time_protection_enabled
RTP が有効になっている場合、結果には値 1 が表示されます。
Microsoft Defender for Endpoint の動作監視を有効にする
Defender for Endpoint の動作監視を有効にする方法の詳細については、「 展開手順」を参照してください。
動作監視のしくみのデモ
動作監視がペイロードをブロックする方法を示すには:
nano や Visual Studio Code (VS Code) などのスクリプト/テキスト エディターを使用して bash スクリプトを作成します。
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5BM_test.shとして保存
次のコマンドを実行して、bash スクリプトを実行可能にします。
sudo chmod u+x BM_test.shbash スクリプトを実行します。
sudo bash BM_test.sh
結果は次のとおりです。
zsh: sudo bash BM_test.shを強制終了しました
ファイルは、macOS 上の Defender for Endpoint によって検疫されました。 次のコマンドを使用して、検出されたすべての脅威を一覧表示します。
mdatp threat list
結果は次のとおりです。
ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
名前: 動作: MacOS/MacOSChangeFileTest
型: "behavior"
検出時間: 2024 年 5 月 7 日 (火) 20:23:41
状態: "検疫済み"
Microsoft Defender for Endpoint P2/P1 または Microsoft Defender for Business がある場合は、 Microsoft Defender XDR ポータルに移動すると、"疑わしい 'MacOSChangeFileTest' の動作がブロックされました" という名前のアラートが表示されます。