Demonstration av beteendeövervakning
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender för företag
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender Antivirus
- Microsoft Defender för enskilda användare
Beteendeövervakning i Microsoft Defender Antivirus övervakar processbeteendet för att identifiera och analysera potentiella hot baserat på beteendet för program, tjänster och filer. I stället för att enbart förlita sig på innehållsmatchning, som identifierar kända mönster för skadlig kod, fokuserar beteendeövervakning på att observera hur programvara beter sig i realtid.
Scenariokrav och installation
- Den här demonstrationen körs bara på macOS
- Realtidsskydd i Microsoft Defender är aktiverat
- Beteendeövervakning är aktiverat
Kontrollera att Realtidsskydd i Microsoft Defender är aktiverat
Om du vill kontrollera att realtidsskydd (RTP) är aktiverat öppnar du ett terminalfönster och kopierar och kör följande kommando:
mdatp health --field real_time_protection_enabled
När RTP är aktiverat visar resultatet värdet 1.
Aktivera beteendeövervakning för Microsoft Defender för Endpoint
Mer information om hur du aktiverar beteendeövervakning för Defender för Endpoint finns i Distributionsinstruktioner.
Demonstration av hur beteendeövervakning fungerar
Så här visar du hur beteendeövervakning blockerar en nyttolast:
Skapa ett bash-skript med hjälp av ett skript/textredigerare som nano eller Visual Studio Code (VS Code):
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5
Spara som BM_test.sh
Kör följande kommando för att göra bash-skriptet körbart:
sudo chmod u+x BM_test.sh
Kör bash-skriptet:
sudo bash BM_test.sh
Resultatet visar:
zsh: dödade sudo bash BM_test.sh
Filen sattes i karantän av Defender för Endpoint på macOS. Använd följande kommando för att lista alla identifierade hot:
mdatp threat list
Resultatet visar:
ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
Namn: Beteende: MacOS/MacOSChangeFileTest
Typ: "beteende"
Identifieringstid: tis 7 maj 20:23:41 2024
Status: "karantän"
Om du har Microsoft Defender för Endpoint P2/P1 eller Microsoft Defender för företag går du till Microsoft Defender XDR-portalen så visas en avisering med namnet: "Misstänkt "MacOSChangeFileTest"-beteende har blockerats."