Share via


Gedragsblokkering van cliënt

Van toepassing op:

Platform

  • Windows

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Overzicht

Gedragsblokkering van client is een onderdeel van gedragsblokkerings- en insluitingsmogelijkheden in Defender voor Eindpunt. Omdat verdacht gedrag wordt gedetecteerd op apparaten (ook wel clients of eindpunten genoemd), worden artefacten (zoals bestanden of toepassingen) automatisch geblokkeerd, gecontroleerd en hersteld.

Cloud- en clientbeveiliging

Antivirusbeveiliging werkt het beste wanneer deze wordt gekoppeld aan cloudbeveiliging.

Hoe gedragsblokkering van client werkt

Microsoft Defender Antivirus kan verdacht gedrag, schadelijke code, bestandsloze en in-memory aanvallen en meer detecteren op een apparaat. Wanneer verdacht gedrag wordt gedetecteerd, controleert Microsoft Defender Antivirus dat verdachte gedrag en de bijbehorende processtructuren naar de cloudbeveiligingsservice. Machine learning maakt binnen milliseconden onderscheid tussen schadelijke toepassingen en goed gedrag en classificeert elk artefact. In bijna realtime, zodra een artefact schadelijk blijkt te zijn, wordt het geblokkeerd op het apparaat.

Wanneer een verdacht gedrag wordt gedetecteerd, wordt er een waarschuwing gegenereerd en is deze zichtbaar terwijl de aanval is gedetecteerd en gestopt; waarschuwingen, zoals een waarschuwing voor eerste toegang, worden geactiveerd en weergegeven in de Microsoft Defender portal (voorheen Microsoft Defender XDR).

Gedragsblokkering van client is effectief omdat het niet alleen helpt voorkomen dat een aanval wordt gestart, maar ook een aanval kan stoppen die is begonnen met uitvoeren. En met feedback-lusblokkering (een andere mogelijkheid van gedragsblokkering en inperking), worden aanvallen op andere apparaten in uw organisatie voorkomen.

Detecties op basis van gedrag

Detecties op basis van gedrag worden benoemd volgens de MITRE ATT&CK Matrix for Enterprise. De naamconventie helpt bij het identificeren van de aanvalsfase waarin het schadelijke gedrag is waargenomen:

Tactiek Detectie van bedreigingsnaam
Initiële toegang Behavior:Win32/InitialAccess.*!ml
Uitvoering Behavior:Win32/Execution.*!ml
Persistentie Behavior:Win32/Persistence.*!ml
Escalatie van bevoegdheden Behavior:Win32/PrivilegeEscalation.*!ml
Ontwijking van verdediging Behavior:Win32/DefenseEvasion.*!ml
Toegang tot referenties Behavior:Win32/CredentialAccess.*!ml
Ontdekken Behavior:Win32/Discovery.*!ml
Zijdelingse verplaatsing Behavior:Win32/LateralMovement.*!ml
Verzameling Behavior:Win32/Collection.*!ml
Opdracht en beheer Behavior:Win32/CommandAndControl.*!ml
Exfiltratie Behavior:Win32/Exfiltration.*!ml
Impact Behavior:Win32/Impact.*!ml
Uncategorized Behavior:Win32/Generic.*!ml

Tip

Zie Recente wereldwijde bedreigingsactiviteit voor meer informatie over specifieke bedreigingen.

Gedragsblokkering van client configureren

Als uw organisatie Defender voor Eindpunt gebruikt, is gedragsblokkering van client standaard ingeschakeld. Als u echter wilt profiteren van alle mogelijkheden van Defender voor Eindpunt, inclusief gedragsblokkering en insluiting, moet u ervoor zorgen dat de volgende functies en mogelijkheden van Defender voor Eindpunt zijn ingeschakeld en geconfigureerd:

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.