Aracılığıyla paylaş


Microsoft Defender Virüsten Koruma'da davranış izleme

Şunlar için geçerlidir:

Davranış izleme, Microsoft Defender Virüsten Koruma'nın kritik bir algılama ve koruma işlevidir.

Uygulamaların, hizmetlerin ve dosyaların davranışına bağlı olarak olası tehditleri algılamak ve analiz etmek için işlem davranışını izler. Davranış izleme, yalnızca imza tabanlı algılamaya (bilinen kötü amaçlı yazılım desenlerini tanımlar) güvenmek yerine yazılımın gerçek zamanlı olarak nasıl davrandığını gözlemlemeye odaklanır. Bunun için gerekenler şunlardır:

  1. Real-Time Tehdit Algılama:

    • İşlemleri, dosya sistemi etkinliklerini ve sistem içindeki etkileşimleri sürekli gözlemleyin.
    • Defender Virüsten Koruma, kötü amaçlı yazılım veya diğer tehditlerle ilişkili desenleri tanımlayabilir. Örneğin, mevcut dosyalarda olağan dışı değişiklikler yapan, otomatik başlangıç kayıt defteri (ASEP) anahtarlarını değiştiren veya oluşturan işlemleri ve dosya sisteminde veya yapısında yapılan diğer değişiklikleri arar.
  2. Dinamik Yaklaşım:

  • Statik, imza tabanlı algılamadan farklı olarak, davranış izleme yeni ve gelişen tehditlere uyum sağlar.

  • Microsoft Defender Virüsten Koruma önceden tanımlanmış desenleri kullanır ve yazılımın yürütme sırasında nasıl davrandığını gözlemler. Önceden tanımlanmış herhangi bir desene uymayan kötü amaçlı yazılımlar için virüsten koruma Microsoft Defender anomali algılama kullanır.

  • Bir program şüpheli davranış gösteriyorsa (örneğin, kritik sistem dosyalarını değiştirmeye çalışırken), Microsoft Defender Virüsten Koruma daha fazla zarar gelmesini önlemek için eylem gerçekleştirebilir ve önceki kötü amaçlı yazılım eylemlerini geri alabilir.

Davranış izleme, Defender Virüsten Koruma'nın yalnızca bilinen imzalara güvenmek yerine gerçek zamanlı eylemlere ve davranışlara odaklanarak ortaya çıkan tehditleri proaktif olarak algılama becerisini geliştirir.

Aşağıdaki özellikler davranış izlemesine bağlıdır.

Kötü amaçlı yazılımdan koruma:

  • Göstergeler, Dosya karması, izin ver/engelle

Ağ Koruması:

  • Göstergeler, IP adresi/URL, izin ver/engelle
  • Web İçeriği Filtreleme, izin ver/engelle

Not

Davranış izleme, kurcalama koruması tarafından korunur.

Resimden kaldırmak için davranış izlemeyi geçici olarak devre dışı bırakmak için önce Sorun Giderme modunu etkinleştirmek, Kurcalama Koruması'nı devre dışı bırakmak ve ardından davranış izlemeyi devre dışı bırakmak istiyorsunuz.

Davranış izleme ilkesini değiştirme

Aşağıdaki tabloda davranış izlemeyi yapılandırmanın farklı yolları gösterilmektedir.

Yönetim aracı Name Bağlantılar
Güvenlik Ayarları Yönetimi Davranış izlemeye izin ver Bu makale
Intune Davranış izlemeye izin ver Intune için Microsoft Defender Virüsten Koruma için Windows Virüsten Koruma ilke ayarları
CSP AllowBehaviorMonitoring Defender İlkesi CSP
kiracı ekleme Configuration Manager Davranış izlemeyi açma Kiracıya bağlı cihazlar için Microsoft Defender Virüsten Koruma'dan Windows Virüsten Koruma ilke ayarları
Grup İlkesi Davranış izlemeyi açma Windows 11 2023 Güncelleştirmesi (23H2) için grup ilkesi Ayarları Başvuru Elektronik Tablosu'nı indirin
PowerShell Set-Preference -DisableBehaviorMonitoring Set-MpPreference
WMI boolean DisableBehaviorMonitoring; MSFT_MpPreference sınıfı

İş için Microsoft Defender kullanıyorsanız bkz. İş için Microsoft Defender'de yeni nesil koruma ilkelerinizi gözden geçirme veya düzenleme.

PowerShell kullanarak davranış izleme ayarlarını değiştirme

Davranış izleme ayarlarını değiştirmek için aşağıdaki komutu kullanın:

Set-MpPreference -DisableBehaviorMonitoring <true | false>
  • True Davranış izlemeyi devre dışı bırakır.
  • False Davranış izlemeyi etkinleştirir.

Daha fazla bilgi için bkz . Set-MpPreference.

PowerShell'den davranış izleme durumunu sorgulama

Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled

Döndürülen değer ise true, davranış izleme etkinleştirilir.

Gelişmiş Tehdit Avcılığı'nı kullanarak davranış izleme durumunu sorgulama

Davranış izleme durumunu sorgulamak için Gelişmiş Avcılık (AH) kullanabilirsiniz.

Microsoft Defender XDR, Uç Nokta için Microsoft Defender Plan 2 veya İş için Microsoft Defender gerektirir.

let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc

Yüksek CPU kullanımı sorunlarını giderme

Davranış izlemeyle ilgili algılamalar "Davranış" ile başlar.

içinde MsMpEng.exeyüksek CPU kullanımını araştırırken, sorunların devam etmesi için davranış izlemeyi geçici olarak devre dışı bırakabilirsiniz.

Yüksek cpu kullanımına katkıda bulunan \path\process, işlem ve/veya dosya uzantılarını bulmak için Microsoft Defender Virüsten Koruma için Performans çözümleyicisini kullanabilirsiniz. Ardından bu öğeleri Bağlamsal Dışlama'ya ekleyebilirsiniz.

Daha fazla bilgi için bkz. Microsoft Defender Virüsten Koruma için performans çözümleyicisi.

Davranış izlemeden kaynaklanan yüksek CPU kullanımı görüyorsanız, aşağıdaki öğelerin her birini sırayla geri döndürerek sorunu gidermeye devam edin. Sorunun nerede olabileceğini belirlemek için her öğeyi geri döndürdikten sonra davranış izlemeyi yeniden etkinleştirin.

  1. platform güncelleştirmesi
  2. altyapı güncelleştirmesi
  3. güvenlik bilgileri güncelleştirmesi.

Yüksek CPU kullanımı sorunlarıyla karşılaşmaya devam ediyorsanız Microsoft desteğine başvurun ve İstemci Çözümleyicisi verilerinizi hazır bulundurun.

Soruna davranış izleme neden olmuyorsa, günlük bilgilerini toplamak için Microsoft Defender Virüsten Koruma için Performans çözümleyicisi'ni kullanın. ve a -akullanarak a -c iki farklı günlük toplayın. Microsoft desteğine başvurarak bu bilgileri hazır bulundurun.

Daha fazla bilgi için bkz. Windows'da gelişmiş sorun giderme için veri toplama.