Share via


Beteendeövervakning i Microsoft Defender Antivirus

Gäller för:

Beteendeövervakning är en viktig identifierings- och skyddsfunktion i Microsoft Defender Antivirus.

Övervakar processbeteendet för att identifiera och analysera potentiella hot baserat på beteendet för program, tjänster och filer. I stället för att enbart förlita sig på signaturbaserad identifiering (som identifierar kända mönster för skadlig kod) fokuserar beteendeövervakningen på att observera hur programvara beter sig i realtid. Det här är vad det innebär:

  1. Real-Time hotidentifiering:

    • Observera kontinuerligt processer, filsystemaktiviteter och interaktioner i systemet.
    • Defender Antivirus kan identifiera mönster som är associerade med skadlig kod eller andra hot. Den söker till exempel efter processer som gör ovanliga ändringar i befintliga filer, ändrar eller skapar ASEP-nycklar (Automatic Startup Registry) och andra ändringar i filsystemet eller strukturen.
  2. Dynamisk metod:

  • Till skillnad från statisk, signaturbaserad identifiering anpassas beteendeövervakningen till nya och växande hot.

  • Microsoft Defender Antivirus använder fördefinierade mönster och observerar hur programvara beter sig under körningen. För skadlig kod som inte passar något fördefinierat mönster använder Microsoft Defender Antivirus avvikelseidentifiering.

  • Om ett program visar misstänkt beteende (till exempel försök att ändra kritiska systemfiler) kan Microsoft Defender Antivirus vidta åtgärder för att förhindra ytterligare skada och återställa vissa tidigare åtgärder för skadlig kod.

Beteendeövervakning förbättrar Defender Antiviruss förmåga att proaktivt identifiera nya hot genom att fokusera på åtgärder och beteenden i realtid i stället för att enbart förlita sig på kända signaturer.

Följande funktioner beror på beteendeövervakning.

Skydd mot skadlig kod:

  • Indikatorer, filhash, tillåt/blockera

Nätverksskydd:

  • Indikatorer, IP-adress/URL, tillåt/blockera
  • Webbinnehållsfiltrering, tillåt/blockera

Obs!

Beteendeövervakning skyddas av manipuleringsskydd.

Om du tillfälligt vill inaktivera beteendeövervakning för att ta bort den från bilden vill du först aktivera felsökningsläge, inaktivera Manipulationsskydd och sedan inaktivera beteendeövervakning.

Ändra beteendeövervakningsprincipen

I följande tabell visas de olika sätten att konfigurera beteendeövervakning.

Hanteringsverktyg Namn Länkar
Hantering av säkerhetsinställningar Tillåt beteendeövervakning Den här artikeln
Intune Tillåt beteendeövervakning Principinställningar för Windows Antivirus för Microsoft Defender Antivirus för Intune
CSP AllowBehaviorMonitoring Defender Policy CSP
Configuration Manager klientkoppling Aktivera beteendeövervakning Principinställningar för Windows Antivirus från Microsoft Defender Antivirus för klientanslutna enheter
Grupprincip Aktivera beteendeövervakning Ladda ned referenskalkylet för grupprincip inställningar för Windows 11 2023 Update (23H2)
PowerShell Set-Preference -DisableBehaviorMonitoring Set-MpPreference
WMI boolean DisableBehaviorMonitoring; MSFT_MpPreference klass

Om du använder Microsoft Defender för företag kan du läsa Granska eller redigera nästa generations skyddsprinciper i Microsoft Defender för företag.

Ändra beteendeövervakningsinställningarna med hjälp av PowerShell

Använd följande kommando för att ändra beteendeövervakningsinställningarna:

Set-MpPreference -DisableBehaviorMonitoring <true | false>
  • True inaktiverar beteendeövervakning.
  • False aktiverar beteendeövervakning.

Mer information finns i Set-MpPreference.

Fråga beteendeövervakningsstatusen från PowerShell

Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled

Om värdet som returneras är trueär beteendeövervakning aktiverat.

Fråga beteendeövervakningsstatusen med hjälp av Avancerad jakt

Du kan använda Avancerad jakt (AH) för att fråga status för beteendeövervakning.

Kräver Microsoft Defender XDR, Microsoft Defender för Endpoint plan 2 eller Microsoft Defender för företag.

let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc

Felsöka hög CPU-användning

Identifieringar som rör beteendeövervakning börjar med "Beteende".

När du undersöker hög CPU-användning i MsMpEng.exekan du tillfälligt inaktivera beteendeövervakning för att se om problemen kvarstår.

Du kan använda Prestandaanalys för Microsoft Defender Antivirus för att hitta filnamnstilläggen\path\process, process och/eller som bidrar till den höga processoranvändningen. Du kan sedan lägga till dessa objekt i Kontextuellt undantag.

Mer information finns i Prestandaanalys för Microsoft Defender Antivirus.

Om du ser hög CPU-användning som orsakas av beteendeövervakning fortsätter du att felsöka problemet genom att återställa var och en av följande objekt i ordning. Återaktivera beteendeövervakning efter återställning av varje objekt för att identifiera var problemet kan finnas.

  1. plattformsuppdatering
  2. motoruppdatering
  3. säkerhetsinformationsuppdatering.

Om du fortfarande stöter på problem med hög CPU-användning kontaktar du Microsofts support och har dina Client Analyzer-data redo.

Om beteendeövervakning inte orsakar problemet använder du Prestandaanalys för Microsoft Defender Antivirus för att samla in logginformation. Samla in två olika loggar med och a -ca -a. Ha den här informationen redo när du kontaktar Microsofts support.

Mer information finns i Datainsamling för avancerad felsökning i Windows.