Демонстрация мониторинга поведения
Область применения:
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender для бизнеса
- Microsoft Defender для конечной точки (план 1)
- Антивирусная программа в Microsoft Defender
- Microsoft Defender для пользователей
Мониторинг поведения в антивирусной программе Microsoft Defender отслеживает поведение процесса для обнаружения и анализа потенциальных угроз на основе поведения приложений, служб и файлов. Вместо того чтобы полагаться исключительно на сопоставление содержимого, которое определяет известные шаблоны вредоносных программ, мониторинг поведения фокусируется на наблюдении за поведением программного обеспечения в режиме реального времени.
Требования к сценарию и настройка
- Эта демонстрация работает только в macOS.
- Включена защита Microsoft Defender в режиме реального времени
- Мониторинг поведения включен
Проверка включения защиты в режиме реального времени в Microsoft Defender
Чтобы убедиться, что защита в режиме реального времени (RTP) включена, откройте окно терминала и скопируйте и выполните следующую команду:
mdatp health --field real_time_protection_enabled
Если RTP включен, результат отображает значение 1.
Включение мониторинга поведения для Microsoft Defender для конечной точки
Дополнительные сведения о том, как включить мониторинг поведения для Defender для конечной точки, см. в разделе Инструкции по развертыванию.
Демонстрация принципов работы мониторинга поведения
Чтобы продемонстрировать, как мониторинг поведения блокирует полезные данные, выполните следующие действия.
Создайте скрипт bash с помощью скрипта или текстового редактора, например nano или Visual Studio Code (VS Code):
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5
Сохранить как BM_test.sh
Выполните следующую команду, чтобы сделать скрипт bash исполняемым:
sudo chmod u+x BM_test.sh
Запустите скрипт bash:
sudo bash BM_test.sh
Результат показывает:
zsh: убит судо Баш BM_test.sh
Файл был помещен в карантин Defender для конечной точки в macOS. Используйте следующую команду, чтобы получить список всех обнаруженных угроз:
mdatp threat list
Результат показывает:
Идентификатор: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx"
Имя: Поведение: MacOS/MacOSChangeFileTest
Тип: "behavior"
Время обнаружения: Вт 7 мая 20:23:41 2024
Состояние: "помещено в карантин"
Если у вас есть Microsoft Defender для конечной точки P2/P1 или Microsoft Defender для бизнеса, перейдите на портал XDR в Microsoft Defender, и вы увидите оповещение с именем "Подозрительное поведение MacOSChangeFileTest заблокировано".
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по