동작 모니터링 데모

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 2
• 비즈니스용 Microsoft Defender
• 엔드포인트용 Microsoft Defender 플랜 1
• Microsoft Defender 바이러스 백신
• 개인용 Microsoft Defender

Microsoft Defender 바이러스 백신의 동작 모니터링은 프로세스 동작을 모니터링하여 애플리케이션, 서비스 및 파일의 동작에 따라 잠재적인 위협을 감지하고 분석합니다. 동작 모니터링은 알려진 맬웨어 패턴을 식별하는 콘텐츠 일치에만 의존하는 대신 소프트웨어가 실시간으로 작동하는 방식을 관찰하는 데 중점을 둡니다.

시나리오 요구 사항 및 설정

• 이 데모는 macOS에서만 실행됩니다.
• Microsoft Defender 실시간 보호 사용
• 동작 모니터링이 사용하도록 설정됨

Microsoft Defender 실시간 보호가 사용하도록 설정되어 있는지 확인

RTP(실시간 보호)가 사용하도록 설정되어 있는지 확인하려면 터미널 창을 열고 다음 명령을 복사하여 실행합니다.

mdatp health --field real_time_protection_enabled

RTP를 사용하도록 설정하면 결과에 값이 1로 표시됩니다.

엔드포인트용 Microsoft Defender에 대한 동작 모니터링 사용

엔드포인트용 Defender에 대한 동작 모니터링을 사용하도록 설정하는 방법에 대한 자세한 내용은 배포 지침을 참조하세요.

동작 모니터링 작동 방식 데모

동작 모니터링이 페이로드를 차단하는 방법을 보여 주려면 다음을 수행합니다.

1. nano 또는 VS Code(Visual Studio Code)와 같은 스크립트/텍스트 편집기를 사용하여 bash 스크립트를 만듭니다.

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. BM_test.sh 저장

3. 다음 명령을 실행하여 bash 스크립트를 실행 가능하게 만듭니다.

   sudo chmod u+x BM_test.sh
   

4. bash 스크립트를 실행합니다.

sudo bash BM_test.sh

결과는 다음을 보여줍니다.

zsh: killed sudo bash BM_test.sh

파일이 macOS의 엔드포인트용 Defender에 의해 격리되었습니다. 다음 명령을 사용하여 검색된 모든 위협을 나열합니다.

mdatp threat list

결과는 다음을 보여줍니다.

ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

이름: 동작: MacOS/MacOSChangeFileTest

형식: "동작"

검색 시간: 2024년 5월 7일 화요일 20:23:41

상태: "격리됨"

엔드포인트용 Microsoft Defender P2/P1 또는 비즈니스용 Microsoft Defender가 있는 경우 Microsoft Defender XDR 포털로 이동하면 "의심스러운 'MacOSChangeFileTest' 동작이 차단되었습니다."라는 경고가 표시됩니다.