Gedragsblokkering van cliënt
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
- Microsoft Defender Antivirus
Platform
- Windows
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Overzicht
Gedragsblokkering van client is een onderdeel van gedragsblokkerings- en insluitingsmogelijkheden in Defender voor Eindpunt. Omdat verdacht gedrag wordt gedetecteerd op apparaten (ook wel clients of eindpunten genoemd), worden artefacten (zoals bestanden of toepassingen) automatisch geblokkeerd, gecontroleerd en hersteld.
Antivirusbeveiliging werkt het beste wanneer deze wordt gekoppeld aan cloudbeveiliging.
Hoe gedragsblokkering van client werkt
Microsoft Defender Antivirus kan verdacht gedrag, schadelijke code, bestandsloze en in-memory aanvallen en meer detecteren op een apparaat. Wanneer verdacht gedrag wordt gedetecteerd, controleert Microsoft Defender Antivirus dat verdachte gedrag en de bijbehorende processtructuren naar de cloudbeveiligingsservice. Machine learning maakt binnen milliseconden onderscheid tussen schadelijke toepassingen en goed gedrag en classificeert elk artefact. In bijna realtime, zodra een artefact schadelijk blijkt te zijn, wordt het geblokkeerd op het apparaat.
Wanneer een verdacht gedrag wordt gedetecteerd, wordt er een waarschuwing gegenereerd en is deze zichtbaar terwijl de aanval is gedetecteerd en gestopt; waarschuwingen, zoals een waarschuwing voor eerste toegang, worden geactiveerd en weergegeven in de Microsoft Defender portal (voorheen Microsoft Defender XDR).
Gedragsblokkering van client is effectief omdat het niet alleen helpt voorkomen dat een aanval wordt gestart, maar ook een aanval kan stoppen die is begonnen met uitvoeren. En met feedback-lusblokkering (een andere mogelijkheid van gedragsblokkering en inperking), worden aanvallen op andere apparaten in uw organisatie voorkomen.
Detecties op basis van gedrag
Detecties op basis van gedrag worden benoemd volgens de MITRE ATT&CK Matrix for Enterprise. De naamconventie helpt bij het identificeren van de aanvalsfase waarin het schadelijke gedrag is waargenomen:
| Tactiek | Detectie van bedreigingsnaam |
|---|---|
| Initiële toegang | Behavior:Win32/InitialAccess.*!ml |
| Uitvoering | Behavior:Win32/Execution.*!ml |
| Persistentie | Behavior:Win32/Persistence.*!ml |
| Escalatie van bevoegdheden | Behavior:Win32/PrivilegeEscalation.*!ml |
| Ontwijking van verdediging | Behavior:Win32/DefenseEvasion.*!ml |
| Toegang tot referenties | Behavior:Win32/CredentialAccess.*!ml |
| Ontdekken | Behavior:Win32/Discovery.*!ml |
| Zijdelingse verplaatsing | Behavior:Win32/LateralMovement.*!ml |
| Verzameling | Behavior:Win32/Collection.*!ml |
| Opdracht en beheer | Behavior:Win32/CommandAndControl.*!ml |
| Exfiltratie | Behavior:Win32/Exfiltration.*!ml |
| Impact | Behavior:Win32/Impact.*!ml |
| Uncategorized | Behavior:Win32/Generic.*!ml |
Tip
Zie Recente wereldwijde bedreigingsactiviteit voor meer informatie over specifieke bedreigingen.
Gedragsblokkering van client configureren
Als uw organisatie Defender voor Eindpunt gebruikt, is gedragsblokkering van client standaard ingeschakeld. Als u echter wilt profiteren van alle mogelijkheden van Defender voor Eindpunt, inclusief gedragsblokkering en insluiting, moet u ervoor zorgen dat de volgende functies en mogelijkheden van Defender voor Eindpunt zijn ingeschakeld en geconfigureerd:
- Defender voor Eindpunt-basislijnen
- Apparaten die zijn toegevoegd aan Defender voor Eindpunt
- EDR in blokkeringsmodus
- Kwetsbaarheid voor aanvallen verminderen
- Beveiliging van de volgende generatie (antivirus, antimalware en andere mogelijkheden voor beveiliging tegen bedreigingen)
Tip
Als u op zoek bent naar informatie over antivirus voor andere platforms, raadpleegt u:
- Voorkeuren instellen voor Microsoft Defender voor Eindpunt in macOS
- Microsoft Defender voor Eindpunt op Mac
- macOS Antivirus-beleidsinstellingen voor Microsoft Defender Antivirus voor Intune
- Voorkeuren instellen voor Microsoft Defender voor Eindpunt in Linux
- Microsoft Defender voor Eindpunt op Linux
- Defender voor Eindpunt in Android-functies configureren
- Overzicht van Microsoft Defender voor Eindpunt op iOS
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor