Share via


Demonstration av beteendeövervakning

Gäller för:

Beteendeövervakning i Microsoft Defender Antivirus övervakar processbeteendet för att identifiera och analysera potentiella hot baserat på beteendet för program, tjänster och filer. I stället för att enbart förlita sig på innehållsmatchning, som identifierar kända mönster för skadlig kod, fokuserar beteendeövervakning på att observera hur programvara beter sig i realtid.

Scenariokrav och installation

Kontrollera Microsoft Defender realtidsskydd är aktiverat

Om du vill kontrollera att realtidsskydd (RTP) är aktiverat öppnar du ett terminalfönster och kopierar och kör följande kommando:

mdatp health --field real_time_protection_enabled

När RTP är aktiverat visar resultatet värdet 1.

Aktivera beteendeövervakning för Microsoft Defender för Endpoint

Mer information om hur du aktiverar beteendeövervakning för Defender för Endpoint finns i Distributionsinstruktioner.

Demonstration av hur beteendeövervakning fungerar

Så här visar du hur beteendeövervakning blockerar en nyttolast:

  1. Skapa ett bash-skript med hjälp av ett skript/textredigerare som nano eller Visual Studio Code (VS Code):
#! /usr/bin/bash
echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt 
echo " " >>  /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt 
sleep 5
  1. Spara som BM_test.sh
  2. Kör följande kommando för att göra bash-skriptet körbart.
sudo chmod u+x BM_test.sh
  1. . Kör bash-skriptet
sudo bash BM_test.sh

Resultatet visar:

zsh: dödade sudo bash BM_test.sh

Filen sattes i karantän av Defender för Endpoint på macOS. Använd följande kommando för att lista alla identifierade hot:

mdatp threat list

Resultatet visar:

ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Namn: Beteende: MacOS/MacOSChangeFileTest

Typ: "beteende"

Identifieringstid: tis 7 maj 20:23:41 2024

Status: "karantän"

Om du har Microsoft Defender för Endpoint P2/P1 eller Microsoft Defender för företag går du till Microsoft Defender XDR-portalen så visas en avisering med namnet: "Misstänkt beteende för MacOSChangeFileTest har blockerats."