分享方式:


行為監視示範

適用於:

Microsoft Defender 防病毒軟體中的行為監視會監視程序行為,以根據應用程式、服務和檔案的行為來偵測和分析潛在威脅。 行為監視著重於即時觀察軟體的行為,而不是只依賴識別已知惡意代碼模式的內容比對。

案例需求和設定

確認已啟用 Microsoft Defender 實時保護

若要確認已啟用 RTP) 的即時保護 (,請開啟終端機視窗並複製並執行下列命令:

mdatp health --field real_time_protection_enabled

啟用 RTP 時,結果會顯示值 1。

啟用適用於端點的 Microsoft Defender 的行為監視

如需如何為適用於端點的Defender啟用行為監視的詳細資訊,請參閱 部署指示

行為監視運作方式的示範

示範行為監視如何封鎖承載:

  1. 使用 nano 或 Visual Studio Code 等腳本/文本編輯器建立 bash 腳本 (VS Code) :

    #! /usr/bin/bash
    echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
    echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
    sleep 5
    
  2. 另存新檔BM_test.sh

  3. 執行下列命令,使bash腳本成為可執行檔:

    sudo chmod u+x BM_test.sh
    
  4. 執行 bash 指令稿:

sudo bash BM_test.sh

結果顯示:

zsh: 已終止 sudo bash BM_test.sh

macOS 上適用於端點的 Defender 已隔離檔案。 使用下列命令來列出所有偵測到的威脅:

mdatp threat list

結果顯示:

標識符:“xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx”

名稱:行為:MacOS/MacOSChangeFileTest

類型:“behavior”

偵測時間:2024 年 5 月 7 日 20:23:41

狀態:「已隔離」

如果您有適用於端點的 Microsoft Defender P2/P1 或商務用 Microsoft Defender,請移至 Microsoft Defender XDR 入口網站,您會看到名為「可疑的 『MacOSChangeFileTest』 行為已封鎖」的警示。