Delen via


Gedragscontrole in Microsoft Defender Antivirus

Van toepassing op:

Gedragscontrole is een essentiële detectie- en beveiligingsfunctionaliteit van Microsoft Defender Antivirus.

Bewaakt procesgedrag om potentiële bedreigingen te detecteren en te analyseren op basis van het gedrag van toepassingen, services en bestanden. In plaats van alleen te vertrouwen op detectie op basis van handtekeningen (waarmee bekende malwarepatronen worden geïdentificeerd), is gedragsbewaking gericht op het observeren van hoe software zich in realtime gedraagt. Dit houdt in:

  1. Real-Time Detectie van bedreigingen:

    • Bekijk continu processen, bestandssysteemactiviteiten en interacties binnen het systeem.
    • Defender Antivirus kan patronen identificeren die zijn gekoppeld aan malware of andere bedreigingen. Er wordt bijvoorbeeld gezocht naar processen die ongebruikelijke wijzigingen aan bestaande bestanden aanbrengen, het wijzigen of maken van ASEP-sleutels (Automatic Startup Registry) en andere wijzigingen in het bestandssysteem of de structuur.
  2. Dynamische aanpak:

  • In tegenstelling tot statische detectie op basis van handtekeningen, wordt gedragsbewaking aangepast aan nieuwe en veranderende bedreigingen.

  • Microsoft Defender Antivirus maakt gebruik van vooraf gedefinieerde patronen en ziet hoe software zich gedraagt tijdens de uitvoering. Voor malware die niet past bij een vooraf gedefinieerd patroon, maakt Microsoft Defender Antivirus gebruik van anomaliedetectie.

  • Als een programma verdacht gedrag vertoont (bijvoorbeeld door kritieke systeembestanden te wijzigen), kan Microsoft Defender Antivirus actie ondernemen om verdere schade te voorkomen en sommige eerdere malwareacties terug te zetten.

Gedragscontrole verbetert het vermogen van Defender Antivirus om opkomende bedreigingen proactief te detecteren door zich te richten op realtime acties en gedrag in plaats van alleen te vertrouwen op bekende handtekeningen.

De volgende functies zijn afhankelijk van gedragscontrole.

Antimalware:

  • Indicatoren, Bestands-hash, toestaan/blokkeren

Netwerkbeveiliging:

  • Indicatoren, IP-adres/URL, toestaan/blokkeren
  • Webinhoud filteren, toestaan/blokkeren

Opmerking

Gedragscontrole wordt beveiligd door manipulatiebeveiliging.

Als u gedragscontrole tijdelijk wilt uitschakelen om dit uit de foto te verwijderen, moet u eerst de probleemoplossingsmodus inschakelen, manipulatiebeveiliging uitschakelen en vervolgens gedragscontrole uitschakelen.

Het beleid voor gedragscontrole wijzigen

In de volgende tabel ziet u de verschillende manieren om gedragscontrole te configureren.

Beheerhulpprogramma Naam Koppelingen
Beheer van beveiligingsinstellingen Gedragscontrole toestaan Dit artikel
Intune Gedragscontrole toestaan Windows Antivirus-beleidsinstellingen voor Microsoft Defender Antivirus voor Intune
CSP AllowBehaviorMonitoring Defender Policy CSP
tenantkoppeling Configuration Manager Gedragscontrole inschakelen Beleidsinstellingen voor Windows Antivirus van Microsoft Defender Antivirus voor apparaten die zijn gekoppeld aan tenants
Groepsbeleid Gedragscontrole inschakelen Referentieblad voor groepsbeleid instellingen voor Windows 11 2023-update downloaden (23H2)
PowerShell Set-Preference -DisableBehaviorMonitoring Set-MpPreference
WMI Booleaanse DisableBehaviorMonitoring; MSFT_MpPreference klasse

Als u Microsoft Defender voor Bedrijven gebruikt, raadpleegt u Beveiligingsbeleid van de volgende generatie controleren of bewerken in Microsoft Defender voor Bedrijven.

De instellingen voor gedragscontrole wijzigen met behulp van PowerShell

Gebruik de volgende opdracht om de instellingen voor gedragscontrole te wijzigen:

Set-MpPreference -DisableBehaviorMonitoring <true | false>
  • True Hiermee schakelt u Gedragscontrole uit.
  • False Hiermee schakelt u Gedragscontrole in.

Zie Set-MpPreference voor meer informatie.

Een query uitvoeren op de status van gedragscontrole vanuit PowerShell

Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled

Als de geretourneerde waarde is, is truegedragscontrole ingeschakeld.

Query's uitvoeren op de status van gedragscontrole met behulp van Geavanceerde opsporing

U kunt Advanced Hunting (AH) gebruiken om de status van gedragscontrole op te vragen.

Vereist Microsoft Defender XDR, Microsoft Defender voor Eindpunt Abonnement 2 of Microsoft Defender voor Bedrijven.

let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc

Problemen met hoog CPU-gebruik oplossen

Detecties met betrekking tot gedragscontrole beginnen met 'Gedrag'.

Wanneer u een hoog CPU-gebruik in MsMpEng.exeonderzoekt, kunt u gedragscontrole tijdelijk uitschakelen om te zien of de problemen zich blijven voordoen.

U kunt Performance Analyzer voor Microsoft Defender Antivirus gebruiken om \path\process,proces en/of bestandsextensies te vinden die bijdragen aan het hoge CPU-gebruik. U kunt deze items vervolgens toevoegen aan Contextuele uitsluiting.

Zie Performance Analyzer voor Microsoft Defender Antivirus voor meer informatie.

Als u een hoog CPU-gebruik ziet dat wordt veroorzaakt door gedragscontrole, kunt u doorgaan met het oplossen van het probleem door elk van de volgende items in volgorde terug te zetten. Schakel gedragscontrole opnieuw in nadat elk item is teruggedraaid om te bepalen waar het probleem zich kan voordoen.

  1. platformupdate
  2. engine-update
  3. update van beveiligingsinformatie.

Als u nog steeds problemen ondervindt met een hoog CPU-gebruik, neemt u contact op met Microsoft-ondersteuning en houdt u uw Client Analyzer-gegevens bij de hand.

Als gedragscontrole het probleem niet veroorzaakt, gebruikt u Performance Analyzer voor Microsoft Defender Antivirus om logboekgegevens te verzamelen. Verzamel twee verschillende logboeken met behulp van a -c en a -a. Houd deze informatie bij de hand wanneer u contact opneemt met Microsoft-ondersteuning.

Zie Gegevens verzamelen voor geavanceerde probleemoplossing in Windows voor meer informatie.