Monitorowanie zachowania w programie antywirusowym Microsoft Defender
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender dla Firm
- Microsoft Defender dla użytkowników indywidualnych
- Program antywirusowy Microsoft Defender
Monitorowanie zachowania to krytyczne funkcje wykrywania i ochrony programu antywirusowego Microsoft Defender.
Monitoruje zachowanie procesu w celu wykrywania i analizowania potencjalnych zagrożeń na podstawie zachowania aplikacji, usług i plików. Zamiast polegać wyłącznie na wykrywaniu opartym na podpisach (które identyfikuje znane wzorce złośliwego oprogramowania), monitorowanie zachowania koncentruje się na obserwowaniu zachowania oprogramowania w czasie rzeczywistym. Oto, co się z tym wiąże:
wykrywanie zagrożeń Real-Time:
- Stale obserwuj procesy, działania systemu plików i interakcje w systemie.
- Program antywirusowy Defender może identyfikować wzorce związane ze złośliwym oprogramowaniem lub innymi zagrożeniami. Na przykład szuka procesów wprowadzających nietypowe zmiany w istniejących plikach, modyfikujących lub tworzących klucze rejestru automatycznego uruchamiania (ASEP) i innych zmian w systemie plików lub strukturze.
Podejście dynamiczne:
W przeciwieństwie do statycznego wykrywania opartego na podpisach monitorowanie zachowania dostosowuje się do nowych i zmieniających się zagrożeń.
Microsoft Defender Program antywirusowy używa wstępnie zdefiniowanych wzorców i obserwuje zachowanie oprogramowania podczas wykonywania. W przypadku złośliwego oprogramowania, które nie pasuje do żadnego wstępnie zdefiniowanego wzorca, program antywirusowy Microsoft Defender używa wykrywania anomalii.
Jeśli program wykazuje podejrzane zachowanie (na przykład próbę zmodyfikowania krytycznych plików systemowych), program antywirusowy Microsoft Defender może podjąć działania, aby zapobiec dalszym szkodom i przywrócić niektóre poprzednie akcje złośliwego oprogramowania.
Monitorowanie zachowań zwiększa możliwość proaktywnego wykrywania pojawiających się zagrożeń przez skupienie się na działaniach i zachowaniach w czasie rzeczywistym, zamiast polegać wyłącznie na znanych sygnaturach.
Następujące funkcje zależą od monitorowania zachowania.
Ochrona przed złośliwym oprogramowaniem:
- Wskaźniki, skrót pliku, zezwalanie/blokowanie
Ochrona sieci:
- Wskaźniki, adres IP/adres URL, zezwalanie/blokowanie
- Filtrowanie zawartości sieci Web, zezwalanie/blokowanie
Uwaga
Monitorowanie zachowania jest chronione przez ochronę przed naruszeniami.
Aby tymczasowo wyłączyć monitorowanie zachowania w celu usunięcia go z obrazu, należy najpierw włączyć tryb rozwiązywania problemów, wyłączyć ochronę przed naruszeniami, a następnie wyłączyć monitorowanie zachowania.
Zmienianie zasad monitorowania zachowania
W poniższej tabeli przedstawiono różne sposoby konfigurowania monitorowania zachowania.
Narzędzie do zarządzania | Name (Nazwa) | Linki |
---|---|---|
Zarządzanie ustawieniami zabezpieczeń | Zezwalaj na monitorowanie zachowania | Ten artykuł |
Intune | Zezwalaj na monitorowanie zachowania | Ustawienia zasad programu antywirusowego Windows dla programu antywirusowego Microsoft Defender dla Intune |
CSP | AllowBehaviorMonitoring | Dostawca CSP zasad usługi Defender |
dołączanie dzierżawy Configuration Manager | Włączanie monitorowania zachowania | Ustawienia zasad programu antywirusowego Windows z programu antywirusowego Microsoft Defender dla urządzeń dołączonych do dzierżawy |
Zasady grupy | Włączanie monitorowania zachowania | Pobierz arkusz kalkulacyjny dokumentacji ustawień zasady grupy dla aktualizacji Windows 11 2023 (23H2) |
PowerShell | Set-Preference —DisableBehaviorMonitoring | Set-MpPreference |
Usługa WMI | wartość logiczna DisableBehaviorMonitoring; | klasa MSFT_MpPreference |
Jeśli używasz Microsoft Defender dla Firm, zobacz Przeglądanie lub edytowanie zasad ochrony nowej generacji w Microsoft Defender dla Firm.
Modyfikowanie ustawień monitorowania zachowania przy użyciu programu PowerShell
Użyj następującego polecenia, aby zmodyfikować ustawienia monitorowania zachowania:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
True
wyłącza monitorowanie zachowania.False
umożliwia monitorowanie zachowania.
Aby uzyskać więcej informacji, zobacz Set-MpPreference.
Wykonywanie zapytań dotyczących stanu monitorowania zachowania z programu PowerShell
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
Jeśli zwracana wartość to true
, monitorowanie zachowania jest włączone.
Wykonywanie zapytań dotyczących stanu monitorowania zachowania przy użyciu zaawansowanego wyszukiwania zagrożeń
Zaawansowane wyszukiwanie zagrożeń (AH) umożliwia wykonywanie zapytań dotyczących stanu monitorowania zachowania.
Wymaga Microsoft Defender XDR, Ochrona punktu końcowego w usłudze Microsoft Defender planu 2 lub Microsoft Defender dla Firm.
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
Rozwiązywanie problemów z wysokim użyciem procesora CPU
Wykrywanie związane z monitorowaniem zachowania rozpoczyna się od "Zachowanie".
Podczas badania wysokiego użycia procesora CPU w MsMpEng.exe
programie można tymczasowo wyłączyć monitorowanie zachowania, aby sprawdzić, czy problemy nadal występują.
Analizator wydajności dla programu antywirusowego Microsoft Defender umożliwia znajdowanie rozszerzeń\path\process, process i/lub plików, które przyczyniają się do wysokiego wykorzystania procesora CPU. Następnie można dodać te elementy do wykluczenia kontekstowego.
Aby uzyskać więcej informacji, zobacz Analizator wydajności dla programu antywirusowego Microsoft Defender.
Jeśli widzisz wysokie użycie procesora CPU spowodowane monitorowaniem zachowania, kontynuuj rozwiązywanie problemu, cofając kolejność każdego z następujących elementów. Ponownie włącz monitorowanie zachowania po odwróceniu każdego elementu, aby określić, gdzie może występować problem.
- aktualizacja platformy
- aktualizacja aparatu
- aktualizacja analizy zabezpieczeń.
Jeśli nadal występują problemy z wysokim użyciem procesora CPU, skontaktuj się z pomocą techniczną firmy Microsoft i przygotuj dane analizatora klienta.
Jeśli monitorowanie zachowania nie powoduje problemu, użyj analizatora wydajności dla programu antywirusowego Microsoft Defender, aby zebrać informacje o dzienniku. Zbierz dwa różne dzienniki przy użyciu a -c
elementów i a -a
. Przygotuj te informacje, gdy skontaktujesz się z pomocą techniczną firmy Microsoft.
Aby uzyskać więcej informacji, zobacz Zbieranie danych w celu zaawansowanego rozwiązywania problemów w systemie Windows.