客户端行为阻止
适用于:
- Microsoft Defender for Endpoint 计划 1
- Microsoft Defender for Endpoint 计划 2
- Microsoft Defender XDR
- Microsoft Defender 防病毒
平台
- Windows
希望体验 Defender for Endpoint? 注册免费试用版。
概述
客户端行为阻止是 Defender for Endpoint 中 行为阻止和遏制功能的 一部分。 由于在设备上检测到可疑行为, (也称为客户端或终结点) ,因此会自动阻止、检查和修正 (项目,例如文件或应用程序) 。
与云保护配对时,防病毒保护效果最佳。
客户端行为阻止的工作原理
Microsoft Defender防病毒可以检测设备上的可疑行为、恶意代码、无文件和内存中攻击等。 检测到可疑行为时,Microsoft Defender防病毒监视这些可疑行为及其进程树并将其发送到云保护服务。 机器学习在毫秒内区分恶意应用程序和良好行为,并分类每个项目。 几乎是实时的,一旦发现某个项目是恶意的,就会在设备上被阻止。
每当检测到可疑行为时,都会生成警报,并在检测到和停止攻击时可见;警报(如“初始访问警报”)会触发并显示在Microsoft Defender门户中。
客户端行为阻止是有效的,因为它不仅有助于防止攻击开始,还有助于阻止已开始执行的攻击。 此外,通过 反馈循环阻止 (行为阻止和遏制) 的另一项功能,可以阻止对组织中的其他设备的攻击。
基于行为的检测
基于行为的检测根据 MITRE ATT&CK Matrix for Enterprise 命名。 命名约定有助于识别观察到恶意行为的攻击阶段:
| 策略 | 检测威胁名称 |
|---|---|
| 初始访问 | Behavior:Win32/InitialAccess.*!ml |
| 执行 | Behavior:Win32/Execution.*!ml |
| 持久性 | Behavior:Win32/Persistence.*!ml |
| 特权提升 | Behavior:Win32/PrivilegeEscalation.*!ml |
| 防御规避 | Behavior:Win32/DefenseEvasion.*!ml |
| 凭据访问 | Behavior:Win32/CredentialAccess.*!ml |
| 发现 | Behavior:Win32/Discovery.*!ml |
| 横向移动 | Behavior:Win32/LateralMovement.*!ml |
| 集合 | Behavior:Win32/Collection.*!ml |
| 命令和控制 | Behavior:Win32/CommandAndControl.*!ml |
| 外泄 | Behavior:Win32/Exfiltration.*!ml |
| 影响 | Behavior:Win32/Impact.*!ml |
| 未分类 | Behavior:Win32/Generic.*!ml |
提示
若要了解有关特定威胁的详细信息,请参阅 最近的全球威胁活动。
配置客户端行为阻止
如果组织使用 Defender for Endpoint,则默认启用客户端行为阻止。 但是,若要从所有 Defender for Endpoint 功能(包括 行为阻止和遏制)中受益,请确保已启用并配置 Defender for Endpoint 的以下特性和功能:
- Defender for Endpoint 基线
- 载入到 Defender for Endpoint 的设备
- 块模式下的 EDR
- 减少攻击面
- 下一代保护 (防病毒、反恶意软件和其他威胁防护功能)
提示
如果要查找其他平台的防病毒相关信息,请参阅:
- 设置 macOS 上 Microsoft Defender for Endpoint 的首选项
- Mac 上的 Microsoft Defender for Endpoint
- 适用于 Intune 的 Microsoft Defender 防病毒软件的 macOS 防病毒程序策略设置
- 设置 Linux 上 Microsoft Defender for Endpoint 的首选项
- Microsoft Defender for Endpoint on Linux
- 在 Android 功能上配置 Defender for Endpoint
- 在 iOS 功能上配置 Microsoft Defender for Endpoint
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。