Microsoft Defender 防病毒軟體中的行為監視
適用於:
- 適用於端點的 Microsoft Defender 方案 1
- 適用於端點的 Microsoft Defender 方案 2
- 適用於企業的 Microsoft Defender
- 個人 Microsoft Defender
- Microsoft Defender 防毒軟體
行為監視是 Microsoft Defender 防病毒軟體的重要偵測和保護功能。
監視程序行為,以根據應用程式、服務和檔案的行為來偵測和分析潛在威脅。 行為監視著重於即時觀察軟體的行為,而不是只依賴識別已知惡意代碼模式) 的簽章型偵測 (。 以下是其需要的事項:
Real-Time 威脅偵測:
- 持續觀察系統內的程式、文件系統活動和互動。
- Defender 防病毒軟體可以識別與惡意代碼或其他威脅相關聯的模式。 例如,它會尋找對現有檔案進行異常變更、修改或建立自動啟動登錄 (ASEP) 機碼,以及對文件系統或結構進行其他變更的程式。
動態方法:
不同於靜態的簽章型偵測,行為監視會適應新的和不斷演進的威脅。
Microsoft Defender 防病毒軟體會使用預先定義的模式,並觀察軟體在執行期間的行為。 對於不符合任何預先定義模式的惡意代碼,Microsoft Defender 防病毒軟體會使用異常偵測。
例如,如果程式顯示可疑的行為, (嘗試修改重要系統檔案) ,Microsoft Defender 防病毒軟體可以採取動作來防止進一步的傷害,並還原一些先前的惡意代碼動作。
行為監視可增強 Defender 防病毒軟體主動偵測新興威脅的能力,方法是專注於即時動作和行為,而不是只依賴已知的簽章。
下列功能取決於行為監視。
反惡意代碼:
- 指標、檔案哈希、允許/封鎖
網路保護:
- 指標、IP 位址/URL、允許/封鎖
- Web 內容篩選,允許/封鎖
注意事項
行為監視受到竄改保護的保護。
若要暫時停用行為監視以將它從圖片中移除,您想要先啟用疑難解答模式、停用竄改保護,然後停用行為監視。
變更行為監視原則
下表顯示設定行為監視的不同方式。
| 管理工具 | 名稱 | 連結 |
|---|---|---|
| 安全性設定管理 | 允許行為監視 | 本文 |
| Intune | 允許行為監視 | 適用於 Intune Microsoft Defender 防病毒軟體的 Windows 防病毒軟體原則設定 |
| Csp | AllowBehaviorMonitoring | Defender 原則 CSP |
| Configuration Manager 租使用者附加 | 開啟行為監視 | 來自租用戶連結裝置的 Microsoft Defender 防病毒軟體的 Windows 防病毒軟體原則設定 |
| 群組原則 | 開啟行為監視 | 下載 群組原則 2023 更新 (23H2 Windows 11 的設定參考電子錶格) |
| PowerShell | Set-Preference -DisableBehaviorMonitoring | Set-MpPreference |
| WMI | boolean DisableBehaviorMonitoring; | MSFT_MpPreference類別 |
如果您使用 適用於企業的 Microsoft Defender,請參閱在 適用於企業的 Microsoft Defender 中檢閱或編輯新一代保護原則。
使用 PowerShell 修改行為監視設定
使用下列命令來修改行為監視設定:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
True停用行為監視。False啟用行為監視。
如需詳細資訊,請參閱 Set-MpPreference。
從 PowerShell 查詢行為監視狀態
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
如果傳回的值為 true,則會啟用行為監視。
使用進階搜捕查詢行為監視狀態
您可以使用進階搜捕 (AH) 來查詢行為監視的狀態。
需要 Microsoft Defender 全面偵測回應、適用於端點的 Microsoft Defender 方案 2 或 適用於企業的 Microsoft Defender。
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
針對高 CPU 使用量進行疑難解答
與行為監視相關的偵測會從「行為」開始。
調查 中的高 CPU 使用量 MsMpEng.exe時,您可以暫時停用行為監視,以查看問題是否持續發生。
您可以使用適用於 Microsoft Defender 防病毒軟體的效能分析器來尋找造成高 cpu 使用率的 \path\process、process 和/或擴展名。 然後,您可以將這些專案新增至 內容排除。
如需詳細資訊,請參閱 Microsoft Defender 防毒軟體的效能分析器。
如果您看到行為監視造成高 CPU 使用量,請依序還原下列每個專案,以繼續針對問題進行疑難解答。 在還原每個項目之後重新啟用行為監視,以識別問題所在位置。
- 平臺更新
- 引擎更新
- 安全性情報更新。
如果您仍然遇到高 CPU 使用量問題,請連絡 Microsoft 支援服務,並備妥您的用戶端分析器數據。
如果行為監視未造成問題,請使用效能分析器 Microsoft Defender 防病毒軟體來收集記錄資訊。 使用 a -c 和 a -a收集兩個不同的記錄。 當您連絡 Microsoft 支援服務時,請準備好這項資訊。
如需詳細資訊,請 參閱 Windows 上進階疑難解答的數據收集。