Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för:
- Microsoft Defender XDR
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender för företag
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender Antivirus
- Microsoft Defender för enskilda användare
Microsoft Defender Antivirus och flera motorer som leder till avancerad teknik för identifiering och förebyggande under huven för att upptäcka och stoppa en mängd olika hot och angripare tekniker på flera punkter, som visas i följande diagram:
Många av dessa motorer är inbyggda i klienten och ger avancerat skydd mot de flesta hot i realtid.
Dessa nästa generations skyddsmotorer ger branschens bästa identifierings- och blockeringsfunktioner och ser till att skyddet är:
- Korrekt: Hot som är både vanliga och sofistikerade, många som är utformade för att försöka glida igenom skydd, identifieras och blockeras.
- Realtid: Hot hindras från att komma igång med enheter, stoppas i realtid vid första anblicken eller identifieras och åtgärdas på minsta möjliga tid (vanligtvis inom några millisekunder).
- Intelligent: Med kraften i molnet, maskininlärning (ML) och Microsofts branschledande optik berikas skyddet och blir ännu effektivare mot nya och okända hot.
Hybrididentifiering och -skydd
Microsoft Defender Antivirus gör hybrididentifiering och skydd. Det innebär att identifiering och skydd sker på klientenheten först och fungerar med molnet för att nyligen utveckla hot, vilket resulterar i snabbare och effektivare identifiering och skydd.
När klienten stöter på okända hot skickar den metadata eller själva filen till molnskyddstjänsten, där mer avancerade skydd undersöker nya hot i farten och integrerar signaler från flera källor.
| På klienten | I molnet |
|---|---|
|
Maskininlärningsmotor (ML) En uppsättning maskininlärningsmodeller med låg vikt gör en bedömning inom millisekunder. Dessa modeller innehåller specialiserade modeller och funktioner som är byggda för specifika filtyper som ofta missbrukas av angripare. Exempel är modeller som skapats för bärbara körbara filer (PE), PowerShell, Office-makron, JavaScript, PDF-filer med mera. |
Metadatabaserad ML-motor Specialiserade ML-modeller, som omfattar filtypsspecifika modeller, funktionsspecifika modeller och adversary-härdade monotona modeller, analyserar en funktionaliserad beskrivning av misstänkta filer som skickas av klienten. Staplade ensembleklassificerare kombinerar resultat från dessa modeller för att göra en bedömning i realtid för att tillåta eller blockera filer före körning. |
|
Beteendeövervakningsmotor Beteendeövervakningsmotorn övervakar potentiella attacker efter körning. Den observerar processbeteenden, inklusive beteendesekvens vid körning, för att identifiera och blockera vissa typer av aktiviteter baserat på fördefinierade regler. |
Beteendebaserad ML-motor Misstänkta beteendesekvenser och avancerade attacktekniker övervakas på klienten som utlösare för att analysera beteendet i processträdet med ml-modeller i realtid. Övervakade attacktekniker sträcker sig över attackkedjan, från kryphål, höjd och beständighet hela vägen till lateral förflyttning och exfiltrering. |
|
Minnesgenomsökningsmotor Den här motorn söker igenom det minnesutrymme som används av en pågående process för att exponera skadligt beteende som kan döljas genom kodfördunkning. |
AMSI-kopplad ML-motor (Antimalware Scan Interface) Par med modeller på klientsidan och på molnsidan utför avancerad analys av skriptbeteende före och efter körning för att fånga upp avancerade hot som fillösa och minnesinterna attacker. Dessa modeller innehåller ett par modeller för var och en av de skriptmotorer som omfattas, inklusive PowerShell, JavaScript, VBScript och Office VBA-makron. Integreringar omfattar både dynamiska innehållsanrop och/eller beteendeinstrumentation på skriptmotorerna. |
|
AMSI-integreringsmotor Djupgående integreringsmotor i appen möjliggör identifiering av fillösa och minnesinterna attacker via AMSI, vilket motverkar kodfördunkningar. Den här integreringen blockerar skadligt beteende för skript på klientsidan. |
ML-motor för filklassificering Djup neurala nätverksklassificerare i flera klasser undersöker det fullständiga filinnehållet och ger ett extra skydd mot attacker som kräver mer analys. Misstänkta filer lagras från att köras och skickas till molnskyddstjänsten för klassificering. Inom några sekunder skapar djupinlärningsmodeller med fullständigt innehåll en klassificering och svarar klienten för att tillåta eller blockera filen. |
|
Heuristikmotor Heuristiska regler identifierar filegenskaper som har likheter med kända skadliga egenskaper för att fånga nya hot eller ändrade versioner av kända hot. |
Detonationsbaserad ML-motor Misstänkta filer detoneras i en sandbox-miljö. Djupinlärningsklassificerare analyserar de observerade beteendena för att blockera attacker. |
|
Emuleringsmotor Emuleringsmotorn packar upp skadlig kod dynamiskt och undersöker hur de skulle bete sig vid körning. Den dynamiska emulering av innehållet och genomsökning både beteendet under emulering och minnesinnehållet i slutet av emulering besegra malware packare och exponera beteende polymorf skadlig kod. |
Rykte ML-motor Domänexpertens rykteskällor och modeller från microsoft efterfrågas för att blockera hot som är länkade till skadliga eller misstänkta URL:er, domäner, e-postmeddelanden och filer. Källor inkluderar Windows Defender SmartScreen för URL-ryktesmodeller och Defender för Office 365 för expertkunskaper om e-postbilagor, bland andra Microsoft-tjänster via Microsoft Intelligent Security Graph. |
|
Nätverksmotor Nätverksaktiviteter inspekteras för att identifiera och stoppa skadliga aktiviteter från hot. |
Smart regelmotor Expertskrivna smarta regler identifierar hot baserat på forskares expertis och samlad kunskap om hot. |
|
Kommandoradsgenomsökningsmotor Den här motorn genomsöker kommandoraderna för alla processer innan de körs. Om kommandoraden för en process visar sig vara skadlig blockeras den från körning. |
CommandLine ML-motor Flera avancerade ML-modeller genomsöker de misstänkta kommandoraderna i molnet. Om en kommandorad visar sig vara skadlig skickar molnet en signal till klienten för att blockera att motsvarande process startar. |
Mer information finns i Microsoft 365 Defender visar 100 procents skyddstäckning i 2023 MITRE Engenuity ATT&CK® Evaluations: Enterprise.
Så här fungerar nästa generations skydd med andra Defender för Endpoint-funktioner
Tillsammans med minskning av attackytan, som omfattar avancerade funktioner som maskinvarubaserad isolering, programkontroll, exploateringsskydd, nätverksskydd, kontrollerad mappåtkomst, regler för minskning av attackytan och nätverksbrandvägg levererar nästa generations skyddsmotorer Microsoft Defender för Endpoints prebreach funktioner, stoppa attacker innan de kan infiltrera enheter och kompromettera nätverk.
Som en del av Microsofts djupskyddslösning tillfaller de här motorernas överlägsna prestanda Microsoft Defender för Endpoint enhetligt slutpunktsskydd, där antivirusidentifieringar och andra nästa generations skyddsfunktioner berikar slutpunktsidentifiering och svar, automatiserad undersökning och reparation, avancerad jakt, Hantering av hot och säkerhetsrisker, tjänsten för hanterad hotjakt och andra funktioner.
Dessa skydd förstärks ytterligare genom Microsoft Defender XDR, Microsofts omfattande säkerhetslösning från slutpunkt till slutpunkt för den moderna arbetsplatsen. Genom signaldelning och orkestrering av reparation i Microsofts säkerhetstekniker skyddar Microsoft Defender XDR identiteter, slutpunkter, e-post och data, appar och infrastruktur.
Minnesskydd och minnesgenomsökning
Microsoft Defender Antivirus (MDAV) ger minnesskydd med olika motorer:
| Klient | Moln |
|---|---|
| Beteendeövervakning | Beteendebaserad maskininlärning |
| AMSI-integrering (Antimalware Scan Interface) | AMSI-kopplad maskininlärning |
| Emulering | Detonationsbaserad maskininlärning |
| Minnesgenomsökning | EJ TILLÄMPLIGT |
Ett ytterligare lager som hjälper till att förhindra minnesbaserade attacker är att använda asr-regeln (Attack Surface Reduction) – Blockera Office-program från att mata in kod i andra processer. Mer information finns i Blockera Office-program från att mata in kod i andra processer.
Vanliga frågor och svar
Hur många hot mot skadlig kod blockerar Microsoft Defender antivirusprogram per månad?
Fem miljarder hot på enheter varje månad.
Hur hjälper Microsoft Defender antivirusminnesskydd?
Se Identifiera reflekterande DLL-inläsning med Windows Defender för Endpoint för att lära dig mer om ett sätt Microsoft Defender skydd mot minnesattacker i Antivirus hjälper.
Fokuserar ni alla identifieringar/förebyggande åtgärder i ett specifikt geografiskt område?
Nej, vi finns i alla geografiska regioner (Amerika, EMEA och APAC).
Fokuserar ni alla på specifika branscher?
Vi fokuserar på alla branscher.
Kräver din identifiering/ditt skydd en mänsklig analytiker?
När du testar pennan bör du kräva att inga mänskliga analytiker ägnar sig åt identifiering/skydd, för att se hur den faktiska effekten av antivirusmotorn (prebreach) verkligen är och en separat där mänskliga analytiker är engagerade. Du kan lägga till Microsoft Defender Experts for XDR en hanterad utökad identifierings- och svarstjänst för att utöka din SOC.
Den kontinuerliga iterativa förbättringen var och en av dessa motorer för att bli allt effektivare på att fånga de senaste stammarna av skadlig kod och attackmetoder. Dessa förbättringar visas i konsekventa toppresultat i branschtester, men ännu viktigare är att det översätts till hot och utbrott av skadlig kod stoppas och fler kunder skyddas.