分享方式:


Microsoft Defender 防病毒軟體中的行為監視

適用於:

行為監視是 Microsoft Defender 防病毒軟體的重要偵測和保護功能。

監視程序行為,以根據應用程式、服務和檔案的行為來偵測和分析潛在威脅。 行為監視著重於即時觀察軟體的行為,而不是只依賴識別已知惡意代碼模式) 的簽章型偵測 (。 以下是其需要的事項:

  1. Real-Time 威脅偵測:

    • 持續觀察系統內的程式、文件系統活動和互動。
    • Defender 防病毒軟體可以識別與惡意代碼或其他威脅相關聯的模式。 例如,它會尋找對現有檔案進行異常變更、修改或建立自動啟動登錄 (ASEP) 機碼,以及對文件系統或結構進行其他變更的程式。
  2. 動態方法:

  • 不同於靜態的簽章型偵測,行為監視會適應新的和不斷演進的威脅。

  • Microsoft Defender 防病毒軟體會使用預先定義的模式,並觀察軟體在執行期間的行為。 對於不符合任何預先定義模式的惡意代碼,Microsoft Defender 防病毒軟體會使用異常偵測。

  • 例如,如果程式顯示可疑的行為, (嘗試修改重要系統檔案) ,Microsoft Defender 防病毒軟體可以採取動作來防止進一步的傷害,並還原一些先前的惡意代碼動作。

行為監視可增強 Defender 防病毒軟體主動偵測新興威脅的能力,方法是專注於即時動作和行為,而不是只依賴已知的簽章。

下列功能取決於行為監視。

反惡意代碼

  • 指標、檔案哈希、允許/封鎖

網路保護

  • 指標、IP 位址/URL、允許/封鎖
  • Web 內容篩選,允許/封鎖

注意事項

行為監視受到竄改保護的保護。

若要暫時停用行為監視以將它從圖片中移除,您想要先啟用疑難解答模式、停用竄改保護,然後停用行為監視。

變更行為監視原則

下表顯示設定行為監視的不同方式。

管理工具 名稱 連結
安全性設定管理 允許行為監視 本文
Intune 允許行為監視 適用於 Intune Microsoft Defender 防病毒軟體的 Windows 防病毒軟體原則設定
Csp AllowBehaviorMonitoring Defender 原則 CSP
Configuration Manager 租使用者附加 開啟行為監視 來自租用戶連結裝置的 Microsoft Defender 防病毒軟體的 Windows 防病毒軟體原則設定
群組原則 開啟行為監視 下載 群組原則 2023 更新 (23H2 Windows 11 的設定參考電子錶格)
PowerShell Set-Preference -DisableBehaviorMonitoring Set-MpPreference
WMI boolean DisableBehaviorMonitoring; MSFT_MpPreference類別

如果您使用 適用於企業的 Microsoft Defender,請參閱在 適用於企業的 Microsoft Defender 中檢閱或編輯新一代保護原則

使用 PowerShell 修改行為監視設定

使用下列命令來修改行為監視設定:

Set-MpPreference -DisableBehaviorMonitoring <true | false>
  • True 停用行為監視。
  • False 啟用行為監視。

如需詳細資訊,請參閱 Set-MpPreference

從 PowerShell 查詢行為監視狀態

Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled

如果傳回的值為 true,則會啟用行為監視。

使用進階搜捕查詢行為監視狀態

您可以使用進階搜捕 (AH) 來查詢行為監視的狀態。

需要 Microsoft Defender 全面偵測回應、適用於端點的 Microsoft Defender 方案 2 或 適用於企業的 Microsoft Defender。

let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc

針對高 CPU 使用量進行疑難解答

與行為監視相關的偵測會從「行為」開始。

調查 中的高 CPU 使用量 MsMpEng.exe時,您可以暫時停用行為監視,以查看問題是否持續發生。

您可以使用適用於 Microsoft Defender 防病毒軟體的效能分析器來尋找造成高 cpu 使用率的 \path\processprocess 和/或擴展名。 然後,您可以將這些專案新增至 內容排除

如需詳細資訊,請參閱 Microsoft Defender 防毒軟體的效能分析器

如果您看到行為監視造成高 CPU 使用量,請依序還原下列每個專案,以繼續針對問題進行疑難解答。 在還原每個項目之後重新啟用行為監視,以識別問題所在位置。

  1. 平臺更新
  2. 引擎更新
  3. 安全性情報更新

如果您仍然遇到高 CPU 使用量問題,請連絡 Microsoft 支援服務,並備妥您的用戶端分析器數據。

如果行為監視未造成問題,請使用效能分析器 Microsoft Defender 防病毒軟體來收集記錄資訊。 使用 a -ca -a收集兩個不同的記錄。 當您連絡 Microsoft 支援服務時,請準備好這項資訊。

如需詳細資訊,請 參閱 Windows 上進階疑難解答的數據收集