Демонстрация мониторинга поведения

Область применения:

• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender для бизнеса
• Microsoft Defender для конечной точки (план 1)
• Антивирусная программа в Microsoft Defender
• Microsoft Defender для пользователей

Мониторинг поведения в антивирусной программе Microsoft Defender отслеживает поведение процесса для обнаружения и анализа потенциальных угроз на основе поведения приложений, служб и файлов. Вместо того чтобы полагаться исключительно на сопоставление содержимого, которое определяет известные шаблоны вредоносных программ, мониторинг поведения фокусируется на наблюдении за поведением программного обеспечения в режиме реального времени.

Требования к сценарию и настройка

• Эта демонстрация работает только в macOS.
• Включена защита Microsoft Defender в режиме реального времени
• Мониторинг поведения включен

Проверка включения защиты в режиме реального времени в Microsoft Defender

Чтобы убедиться, что защита в режиме реального времени (RTP) включена, откройте окно терминала и скопируйте и выполните следующую команду:

mdatp health --field real_time_protection_enabled

Если RTP включен, результат отображает значение 1.

Включение мониторинга поведения для Microsoft Defender для конечной точки

Дополнительные сведения о том, как включить мониторинг поведения для Defender для конечной точки, см. в разделе Инструкции по развертыванию.

Демонстрация принципов работы мониторинга поведения

Чтобы продемонстрировать, как мониторинг поведения блокирует полезные данные, выполните следующие действия.

1. Создайте скрипт bash с помощью скрипта или текстового редактора, например nano или Visual Studio Code (VS Code):

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Сохранить как BM_test.sh

3. Выполните следующую команду, чтобы сделать скрипт bash исполняемым:

   sudo chmod u+x BM_test.sh
   

4. Запустите скрипт bash:

sudo bash BM_test.sh

Результат показывает:

zsh: убит судо Баш BM_test.sh

Файл был помещен в карантин Defender для конечной точки в macOS. Используйте следующую команду, чтобы получить список всех обнаруженных угроз:

mdatp threat list

Результат показывает:

Идентификатор: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx"

Имя: Поведение: MacOS/MacOSChangeFileTest

Тип: "behavior"

Время обнаружения: Вт 7 мая 20:23:41 2024

Состояние: "помещено в карантин"

Если у вас есть Microsoft Defender для конечной точки P2/P1 или Microsoft Defender для бизнеса, перейдите на портал XDR в Microsoft Defender, и вы увидите оповещение с именем "Подозрительное поведение MacOSChangeFileTest заблокировано".