Demonstrasjon av virkemåteovervåking
Gjelder for:
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender for Business
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender Antivirus
- Microsoft Defender for enkeltpersoner
Overvåking av virkemåte i Microsoft Defender Antivirus overvåker virkemåten til prosessen for å oppdage og analysere potensielle trusler basert på virkemåten til programmer, tjenester og filer. I stedet for å stole utelukkende på innholdssamsvar, som identifiserer kjente mønstre for skadelig programvare, fokuserer atferdsovervåking på å observere hvordan programvaren oppfører seg i sanntid.
Scenariokrav og oppsett
- Denne demonstrasjonen kjører bare på macOS
- Microsoft Defender Sanntidsbeskyttelse er aktivert
- Virkemåteovervåking er aktivert
Kontroller at Microsoft Defender Sanntidsbeskyttelse er aktivert
Hvis du vil bekrefte at sanntidsbeskyttelse (RTP) er aktivert, åpner du et terminalvindu og kopierer og utfører følgende kommando:
mdatp health --field real_time_protection_enabled
Når RTP er aktivert, viser resultatet en verdi på 1.
Aktiver virkemåteovervåking for Microsoft Defender for endepunkt
Hvis du vil ha mer informasjon om hvordan du aktiverer virkemåteovervåking for Defender for endepunkt, kan du se Distribusjonsinstruksjoner.
Demonstrasjon av hvordan virkemåteovervåking fungerer
Slik demonstrerer du hvordan virkemåteovervåking blokkerer en nyttelast:
Opprett et bash-skript ved hjelp av et skript/tekstredigeringsprogram, for eksempel nano eller Visual Studio Code (VS Code):
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5Lagre som BM_test.sh
Kjør følgende kommando for å gjøre bash-skriptet kjørbart:
sudo chmod u+x BM_test.shKjør bash-skriptet:
sudo bash BM_test.sh
Resultatet viser:
zsh: drept sudo bash BM_test.sh
Filen ble satt i karantene av Defender for Endpoint på macOS. Bruk følgende kommando til å liste opp alle oppdagede trusler:
mdatp threat list
Resultatet viser:
ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"
Navn: Virkemåte: MacOS/MacOSChangeFileTest
Type: «virkemåte»
Oppdagelsestid: ti. 7. mai 20:23:41 2024
Status: «satt i karantene»
Hvis du har Microsoft Defender for Endpoint P2/P1 eller Microsoft Defender for Business, går du til Microsoft Defender XDR-portalen, og du ser et varsel med navnet: «Mistenkelig MacOSChangeFileTest»-oppførsel ble blokkert.