行為監視示範
適用於:
- 適用於端點的 Microsoft Defender 方案 2
- 適用於企業的 Microsoft Defender
- 適用於端點的 Microsoft Defender 方案 1
- Microsoft Defender 防毒軟體
- 適用於個人的 Microsoft Defender
Microsoft Defender 防病毒軟體中的行為監視會監視程序行為,以根據應用程式、服務和檔案的行為來偵測和分析潛在威脅。 行為監視著重於即時觀察軟體的行為,而不是只依賴識別已知惡意代碼模式的內容比對。
案例需求和設定
- 此示範只會在macOS上執行
- 已啟用 Microsoft Defender 實時保護
- 已啟用行為監視
確認已啟用 Microsoft Defender 實時保護
若要確認已啟用 RTP) 的即時保護 (,請開啟終端機視窗並複製並執行下列命令:
mdatp health --field real_time_protection_enabled
啟用 RTP 時,結果會顯示值 1。
啟用適用於端點的 Microsoft Defender 的行為監視
如需如何為適用於端點的Defender啟用行為監視的詳細資訊,請參閱 部署指示。
行為監視運作方式的示範
示範行為監視如何封鎖承載:
使用 nano 或 Visual Studio Code 等腳本/文本編輯器建立 bash 腳本 (VS Code) :
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5另存新檔BM_test.sh
執行下列命令,使bash腳本成為可執行檔:
sudo chmod u+x BM_test.sh執行 bash 指令稿:
sudo bash BM_test.sh
結果顯示:
zsh: 已終止 sudo bash BM_test.sh
macOS 上適用於端點的 Defender 已隔離檔案。 使用下列命令來列出所有偵測到的威脅:
mdatp threat list
結果顯示:
標識符:“xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx”
名稱:行為:MacOS/MacOSChangeFileTest
類型:“behavior”
偵測時間:2024 年 5 月 7 日 20:23:41
狀態:「已隔離」
如果您有適用於端點的 Microsoft Defender P2/P1 或商務用 Microsoft Defender,請移至 Microsoft Defender XDR 入口網站,您會看到名為「可疑的 『MacOSChangeFileTest』 行為已封鎖」的警示。