Demonstratie gedragscontrole
Van toepassing op:
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor Bedrijven
- Plan 1 voor Microsoft Defender voor Eindpunt
- Microsoft Defender Antivirus
- Microsoft Defender voor personen
Gedragscontrole in Microsoft Defender Antivirus bewaakt procesgedrag om potentiële bedreigingen te detecteren en te analyseren op basis van het gedrag van toepassingen, services en bestanden. In plaats van alleen te vertrouwen op inhoudskoppeling, waarmee bekende malwarepatronen worden geïdentificeerd, richt de bewaking van gedrag zich op het observeren van hoe software zich in realtime gedraagt.
Scenariovereisten en installatie
- Deze demonstratie wordt alleen uitgevoerd op macOS
- Microsoft Defender Realtime-beveiliging is ingeschakeld
- Gedragscontrole is ingeschakeld
Controleer of Realtime-beveiliging van Microsoft Defender is ingeschakeld
Als u wilt controleren of realtime-beveiliging (RTP) is ingeschakeld, opent u een terminalvenster en kopieert en voert u de volgende opdracht uit:
mdatp health --field real_time_protection_enabled
Wanneer RTP is ingeschakeld, wordt in het resultaat de waarde 1 weergegeven.
Gedragscontrole inschakelen voor Microsoft Defender voor Eindpunt
Zie Implementatie-instructies voor meer informatie over het inschakelen van gedragscontrole voor Defender voor Eindpunt.
Demonstratie van hoe gedragscontrole werkt
Ga als volgt te werk om te laten zien hoe gedragscontrole een nettolading blokkeert:
Maak een bash-script met behulp van een script-/teksteditor, zoals nano of Visual Studio Code (VS Code):
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5Opslaan als BM_test.sh
Voer de volgende opdracht uit om het bash-script uitvoerbaar te maken:
sudo chmod u+x BM_test.shVoer het bash-script uit:
sudo bash BM_test.sh
Het resultaat toont het volgende:
zsh: killed sudo bash BM_test.sh
Het bestand is in quarantaine geplaatst door Defender voor Eindpunt in macOS. Gebruik de volgende opdracht om alle gedetecteerde bedreigingen weer te geven:
mdatp threat list
Het resultaat toont het volgende:
Id: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx"
Naam: Gedrag: MacOS/MacOSChangeFileTest
Type: "gedrag"
Detectietijd: di 7 mei 20:23:41 2024
Status: 'in quarantaine geplaatst'
Als u Microsoft Defender voor Eindpunt P2/P1 of Microsoft Defender voor Bedrijven hebt, gaat u naar de Microsoft Defender XDR-portal en ziet u een waarschuwing met de naam: 'Verdacht gedrag 'MacOSChangeFileTest' is geblokkeerd.'