客户端行为阻止

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR
• Microsoft Defender 防病毒

平台

• Windows

希望体验 Defender for Endpoint？ 注册免费试用版。

概述

客户端行为阻止是 Defender for Endpoint 中 行为阻止和遏制功能的 一部分。 由于在设备上检测到可疑行为， (也称为客户端或终结点) ，因此会自动阻止、检查和修正 (项目，例如文件或应用程序) 。

与云保护配对时，防病毒保护效果最佳。

客户端行为阻止的工作原理

Microsoft Defender防病毒可以检测设备上的可疑行为、恶意代码、无文件和内存中攻击等。 检测到可疑行为时，Microsoft Defender防病毒监视这些可疑行为及其进程树并将其发送到云保护服务。 机器学习在毫秒内区分恶意应用程序和良好行为，并分类每个项目。 几乎是实时的，一旦发现某个项目是恶意的，就会在设备上被阻止。

每当检测到可疑行为时，都会生成警报，并在检测到和停止攻击时可见;警报（如“初始访问警报”）会触发并显示在Microsoft Defender门户中， (以前Microsoft Defender XDR) 。

客户端行为阻止是有效的，因为它不仅有助于防止攻击开始，还有助于阻止已开始执行的攻击。 此外，通过 反馈循环阻止 (行为阻止和遏制) 的另一项功能，可以阻止对组织中的其他设备的攻击。

基于行为的检测

基于行为的检测根据 MITRE ATT&CK Matrix for Enterprise 命名。 命名约定有助于识别观察到恶意行为的攻击阶段：

策略	检测威胁名称
初始访问	Behavior:Win32/InitialAccess.*!ml
执行	Behavior:Win32/Execution.*!ml
持久性	Behavior:Win32/Persistence.*!ml
特权提升	Behavior:Win32/PrivilegeEscalation.*!ml
防御规避	Behavior:Win32/DefenseEvasion.*!ml
凭据访问	Behavior:Win32/CredentialAccess.*!ml
发现	Behavior:Win32/Discovery.*!ml
横向移动	Behavior:Win32/LateralMovement.*!ml
集合	Behavior:Win32/Collection.*!ml
命令和控制	Behavior:Win32/CommandAndControl.*!ml
外泄	Behavior:Win32/Exfiltration.*!ml
影响	Behavior:Win32/Impact.*!ml
未分类	Behavior:Win32/Generic.*!ml

提示

若要了解有关特定威胁的详细信息，请参阅 最近的全球威胁活动。

配置客户端行为阻止

如果组织使用 Defender for Endpoint，则默认启用客户端行为阻止。 但是，若要从所有 Defender for Endpoint 功能（包括 行为阻止和遏制）中受益，请确保已启用并配置 Defender for Endpoint 的以下特性和功能：

• Defender for Endpoint 基线
• 载入到 Defender for Endpoint 的设备
• 块模式下的 EDR
• 减少攻击面
• 下一代保护 (防病毒、反恶意软件和其他威胁防护功能)

提示

如果要查找其他平台的防病毒相关信息，请参阅：

• 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
• Mac 上的 Microsoft Defender for Endpoint
• 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
• 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
• Microsoft Defender for Endpoint on Linux
• 在 Android 功能上配置 Defender for Endpoint
• 在 iOS 功能上配置 Microsoft Defender for Endpoint

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。