Davranış İzleme gösterimi

Şunlar için geçerlidir:

• Uç Nokta için Microsoft Defender Planı 2
• İş için Microsoft Defender
• Uç Nokta için Microsoft Defender Planı 1
• Microsoft Defender Virüsten Koruma
• Kişiler için Microsoft Defender

Microsoft Defender Virüsten Koruma'da Davranış İzleme, uygulamaların, hizmetlerin ve dosyaların davranışına bağlı olarak olası tehditleri algılamak ve analiz etmek için işlem davranışını izler. Davranış izleme, yalnızca bilinen kötü amaçlı yazılım desenlerini tanımlayan içerik eşleştirmeye güvenmek yerine yazılımın gerçek zamanlı olarak nasıl davrandığını gözlemlemeye odaklanır.

Senaryo gereksinimleri ve kurulumu

• Bu tanıtım yalnızca macOS üzerinde çalışır
• Microsoft Defender Gerçek zamanlı koruma etkinleştirildi
• Davranış İzleme etkinleştirildi

Microsoft Defender Gerçek zamanlı korumasının etkinleştirildiğini doğrulama

Gerçek zamanlı korumanın (RTP) etkinleştirildiğini doğrulamak için bir terminal penceresi açın ve aşağıdaki komutu kopyalayıp yürütebilirsiniz:

mdatp health --field real_time_protection_enabled

RTP etkinleştirildiğinde, sonuç 1 değerini gösterir.

Uç Nokta için Microsoft Defender için Davranış İzlemeyi Etkinleştirme

Uç Nokta için Defender için Davranış İzleme'yi etkinleştirme hakkında daha fazla bilgi için bkz . Dağıtım yönergeleri.

Davranış İzlemenin nasıl çalıştığını gösterme

Davranış İzleme'nin yükü nasıl engelleyişi göstermek için:

1. Nano veya Visual Studio Code (VS Code) gibi bir betik/metin düzenleyicisi kullanarak bash betiği oluşturun:

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. BM_test.sh olarak kaydet

3. Bash betiğini yürütülebilir hale getirmek için aşağıdaki komutu çalıştırın:

   sudo chmod u+x BM_test.sh
   

4. Bash betiğini çalıştırın:

sudo bash BM_test.sh

Sonuç şunları gösterir:

zsh: sudo bash BM_test.sh öldürüldü

Dosya macOS'ta Uç Nokta için Defender tarafından karantinaya alındı. Algılanan tüm tehditleri listelemek için aşağıdaki komutu kullanın:

mdatp threat list

Sonuç şunları gösterir:

Kimlik: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxx"

Ad: Davranış: MacOS/MacOSChangeFileTest

Tür: "davranış"

Algılama süresi: 7 Mayıs 20:23:41 2024

Durum: "karantinaya alındı"

P2/P1 uç noktası için Microsoft Defender veya İş için Microsoft Defender'nız varsa Microsoft Defender XDR portalına gidin ve şu uyarıyı görürsünüz: "Şüpheli 'MacOSChangeFileTest' davranışı engellendi."