Блокировка с учетом поведения клиента
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
- Антивирусная программа в Microsoft Defender
Платформа
- Windows
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Обзор
Блокировка поведения клиента — это компонент возможностей блокировки поведения и сдерживания в Defender для конечной точки. При обнаружении подозрительного поведения на устройствах (также называемых клиентами или конечными точками) артефакты (например, файлы или приложения) блокируются, проверяются и исправляются автоматически.
Антивирусная защита лучше всего работает в сочетании с облачной защитой.
Как работает блокировка поведения клиента
Microsoft Defender антивирусная программа может обнаруживать подозрительное поведение, вредоносный код, атаки без файлов и в памяти и многое другое на устройстве. При обнаружении подозрительного поведения антивирусная программа Microsoft Defender отслеживает и отправляет эти подозрительные действия и деревья процессов в облачную службу защиты. Машинное обучение различает вредоносные приложения и хорошее поведение в миллисекундах и классифицирует каждый артефакт. Почти в реальном времени, как только артефакт обнаруживается как вредоносный, он блокируется на устройстве.
При обнаружении подозрительного поведения создается оповещение, отображаемое при обнаружении и остановке атаки; Оповещения, такие как "первоначальное оповещение о доступе", активируются и отображаются на портале Microsoft Defender (ранее Microsoft Defender XDR).
Блокировка поведения клиента эффективна, так как она не только помогает предотвратить начало атаки, но и может помочь остановить атаку, которая началась. Кроме того, при блокировке цикла обратной связи (еще одна возможность блокировки поведения и сдерживания) атаки предотвращаются на других устройствах в вашей организации.
Обнаружение на основе поведения
Обнаружения на основе поведения именуются в соответствии с mitre ATT&матрицы CK для предприятия. Соглашение об именовании помогает определить этап атаки, на котором наблюдалось вредоносное поведение:
| Тактика | Имя угрозы обнаружения |
|---|---|
| Исходный доступ | Behavior:Win32/InitialAccess.*!ml |
| Выполнение | Behavior:Win32/Execution.*!ml |
| Сохранение | Behavior:Win32/Persistence.*!ml |
| Повышение привилегий | Behavior:Win32/PrivilegeEscalation.*!ml |
| Обход мер защиты | Behavior:Win32/DefenseEvasion.*!ml |
| Доступ к учетным данным | Behavior:Win32/CredentialAccess.*!ml |
| Обнаружение | Behavior:Win32/Discovery.*!ml |
| Боковое смещение | Behavior:Win32/LateralMovement.*!ml |
| Сбор | Behavior:Win32/Collection.*!ml |
| Команды и управление | Behavior:Win32/CommandAndControl.*!ml |
| Кража данных | Behavior:Win32/Exfiltration.*!ml |
| Влияние | Behavior:Win32/Impact.*!ml |
| Без рубрики | Behavior:Win32/Generic.*!ml |
Совет
Дополнительные сведения о конкретных угрозах см. в статье Недавние действия глобальных угроз.
Настройка блокировки поведения клиента
Если ваша организация использует Defender для конечной точки, блокировка поведения клиента включена по умолчанию. Тем не менее, чтобы воспользоваться всеми возможностями Defender для конечной точки, включая поведенческую блокировку и сдерживание, убедитесь, что включены и настроены следующие функции и возможности Defender для конечной точки:
- Базовые показатели Defender для конечной точки
- Устройства, подключенные к Defender для конечной точки
- EDR в режиме блокировки
- Сокращение направлений атак
- Защита нового поколения (антивирусная программа, антивредоносное ПО и другие возможности защиты от угроз)
Совет
Если вам нужны сведения об антивирусной программе для других платформ, см.:
- Установка параметров Microsoft Defender для конечной точки в macOS
- Microsoft Defender для конечной точки на Mac
- Параметры антивирусной политики macOS для антивирусной программы Microsoft Defender для Intune
- Установите параметры Microsoft Defender для конечной точки в Linux.
- Microsoft Defender для конечной точки в Linux
- Настройка функций Defender для конечной точки на Android
- Настройка защитника Майкрософт для конечной точки на функциях iOS
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.