Demonstration av beteendeövervakning

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender för företag
• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender Antivirus
• Microsoft Defender för enskilda användare

Beteendeövervakning i Microsoft Defender Antivirus övervakar processbeteendet för att identifiera och analysera potentiella hot baserat på beteendet för program, tjänster och filer. I stället för att enbart förlita sig på innehållsmatchning, som identifierar kända mönster för skadlig kod, fokuserar beteendeövervakning på att observera hur programvara beter sig i realtid.

Scenariokrav och installation

• Den här demonstrationen körs bara på macOS
• Realtidsskydd i Microsoft Defender är aktiverat
• Beteendeövervakning är aktiverat

Kontrollera att Realtidsskydd i Microsoft Defender är aktiverat

Om du vill kontrollera att realtidsskydd (RTP) är aktiverat öppnar du ett terminalfönster och kopierar och kör följande kommando:

mdatp health --field real_time_protection_enabled

När RTP är aktiverat visar resultatet värdet 1.

Aktivera beteendeövervakning för Microsoft Defender för Endpoint

Mer information om hur du aktiverar beteendeövervakning för Defender för Endpoint finns i Distributionsinstruktioner.

Demonstration av hur beteendeövervakning fungerar

Så här visar du hur beteendeövervakning blockerar en nyttolast:

1. Skapa ett bash-skript med hjälp av ett skript/textredigerare som nano eller Visual Studio Code (VS Code):

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Spara som BM_test.sh

3. Kör följande kommando för att göra bash-skriptet körbart:

   sudo chmod u+x BM_test.sh
   

4. Kör bash-skriptet:

sudo bash BM_test.sh

Resultatet visar:

zsh: dödade sudo bash BM_test.sh

Filen sattes i karantän av Defender för Endpoint på macOS. Använd följande kommando för att lista alla identifierade hot:

mdatp threat list

Resultatet visar:

ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Namn: Beteende: MacOS/MacOSChangeFileTest

Typ: "beteende"

Identifieringstid: tis 7 maj 20:23:41 2024

Status: "karantän"

Om du har Microsoft Defender för Endpoint P2/P1 eller Microsoft Defender för företag går du till Microsoft Defender XDR-portalen så visas en avisering med namnet: "Misstänkt "MacOSChangeFileTest"-beteende har blockerats."