用戶端行為封鎖
適用於:
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- Microsoft Defender XDR
- Microsoft Defender 防毒軟體
平台
- Windows
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
概觀
用戶端行為封鎖是適用於端點的Defender 中行為封鎖和內含功能 的元件。 在裝置上偵測到可疑的行為, (也稱為用戶端或端點) ,系統會自動封鎖、檢查和補救 (檔案或應用程式等成品,例如) 。
防病毒軟體保護在與雲端保護配對時效果最佳。
用戶端行為封鎖的運作方式
Microsoft Defender 防病毒軟體可以在裝置上偵測可疑的行為、惡意代碼、無檔案和記憶體內部攻擊等等。 偵測到可疑的行為時,Microsoft Defender 防病毒軟體會監視這些可疑行為及其進程樹狀結構,並將其傳送至雲端保護服務。 機器學習會在毫秒內區分惡意應用程式和良好行為,並分類每個成品。 幾乎即時地,一旦發現成品為惡意,就會在裝置上封鎖。
每當偵測到可疑的行為時,就會產生警示,並在偵測到並停止攻擊時顯示;警示會觸發,例如「初始存取警示」,並出現在 Microsoft Defender 入口網站中。
用戶端行為封鎖是有效的,因為它不僅有助於防止攻擊啟動,還可以協助停止已開始執行的攻擊。 此外,使用 意見反應迴圈封鎖 (另一種行為封鎖和內含專案) 功能,可防止組織中其他裝置的攻擊。
行為型偵測
行為型偵測是根據 MITRE ATT&CK Matrix for Enterprise 來命名。 命名慣例可協助識別觀察到惡意行為的攻擊階段:
| 策略 | 偵測威脅名稱 |
|---|---|
| 初次存取 | Behavior:Win32/InitialAccess.*!ml |
| 執行 | Behavior:Win32/Execution.*!ml |
| 持續性 | Behavior:Win32/Persistence.*!ml |
| 權限提升 | Behavior:Win32/PrivilegeEscalation.*!ml |
| 防禦規避 | Behavior:Win32/DefenseEvasion.*!ml |
| 認證存取 | Behavior:Win32/CredentialAccess.*!ml |
| 探索 | Behavior:Win32/Discovery.*!ml |
| 橫向移動 | Behavior:Win32/LateralMovement.*!ml |
| 集合 | Behavior:Win32/Collection.*!ml |
| 命令和控制件 | Behavior:Win32/CommandAndControl.*!ml |
| 外流 | Behavior:Win32/Exfiltration.*!ml |
| 影響 | Behavior:Win32/Impact.*!ml |
| 未分類 | Behavior:Win32/Generic.*!ml |
提示
若要深入瞭解特定威脅,請參閱 最近的全域威脅活動。
設定客戶端行為封鎖
如果您的組織使用適用於端點的 Defender,預設會啟用客戶端行為封鎖。 不過,若要受益於所有適用於端點的 Defender 功能,包括 行為封鎖和內含專案,請確定已啟用並設定適用於端點的 Defender 的下列功能:
- 適用於端點的 Defender 基準
- 已上線至適用於端點的Defender的裝置
- 封鎖模式中的 EDR
- 攻擊面縮減
- 新一代保護 (防病毒軟體、反惡意代碼和其他威脅防護功能)
提示
如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:
提示
想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。