مشاركة عبر

عرض توضيحي لمراقبة السلوك

  • مقالة

ينطبق على:

تراقب مراقبة السلوك في Microsoft Defender مكافحة الفيروسات سلوك العملية للكشف عن التهديدات المحتملة وتحليلها استنادا إلى سلوك التطبيقات والخدمات والملفات. بدلا من الاعتماد فقط على مطابقة المحتوى، والذي يحدد أنماط البرامج الضارة المعروفة، تركز مراقبة السلوك على مراقبة كيفية تصرف البرامج في الوقت الحقيقي.

متطلبات السيناريو والإعداد

بالنسبة لنظام التشغيل

تحقق Microsoft Defender تمكين الحماية في الوقت الحقيقي

للتحقق من تمكين الحماية في الوقت الحقيقي، افتح PowerShell كمسؤول، ثم قم بتشغيل الأمر التالي:

get-mpComputerStatus |ft RealTimeProtectionEnabled

عند تمكين الحماية في الوقت الحقيقي، تظهر النتيجة قيمة True.

تمكين مراقبة السلوك Microsoft Defender لنقطة النهاية

لمزيد من المعلومات حول كيفية تمكين مراقبة السلوك ل Defender لنقطة النهاية، راجع كيفية تمكين مراقبة السلوك.

عرض توضيحي لكيفية عمل مراقبة السلوك في Windows Windows Server

لتوضيح كيفية حظر مراقبة السلوك لحمولة، قم بتشغيل أمر PowerShell التالي:

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

يحتوي الإخراج على خطأ متوقع كما يلي:

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

في مدخل Microsoft Defender، في مركز الصيانة، يجب أن تشاهد المعلومات التالية:

  • أمن Windows
  • تم العثور على التهديدات
  • عثر برنامج الحماية من الفيروسات Microsoft Defender على تهديدات. احصل على التفاصيل.
  • أقال

إذا حددت الارتباط، يتم فتح تطبيق أمن Windows. حدد محفوظات الحماية.

يجب أن تشاهد المعلومات التي تشبه الإخراج التالي:

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more    Actions

في مدخل Microsoft Defender، يجب أن تشاهد معلومات مثل هذه:

Suspicious 'BmTestOfflineUI' behavior was blocked

عند تحديده، سترى شجرة التنبيه التي تحتوي على المعلومات التالية:

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

تحقق Microsoft Defender تمكين الحماية في الوقت الحقيقي

للتحقق من تمكين الحماية في الوقت الحقيقي (RTP)، افتح نافذة طرفية وانسخ الأمر التالي ونفذه:

mdatp health --field real_time_protection_enabled

عند تمكين RTP، تظهر النتيجة قيمة 1.

تمكين مراقبة السلوك Microsoft Defender لنقطة النهاية

لمزيد من المعلومات حول كيفية تمكين مراقبة السلوك ل Defender لنقطة النهاية، راجع إرشادات النشر لمراقبة السلوك.

عرض توضيحي لكيفية عمل مراقبة السلوك

لتوضيح كيفية حظر مراقبة السلوك لحمولة:

  1. إنشاء برنامج نصي bash باستخدام برنامج نصي/محرر نص مثل nano أو Visual Studio Code (VS Code):

    #! /usr/bin/bash
echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
sleep 5

  2. حفظ باسم BM_test.sh.

  3. قم بتشغيل الأمر التالي لجعل البرنامج النصي bash قابلا للتنفيذ:

    sudo chmod u+x BM_test.sh

  4. تشغيل البرنامج النصي bash:

    sudo bash BM_test.sh

    يجب أن تبدو النتيجة كما يلي

    zsh: killed sudo bash BM_test.sh

    يتم عزل الملف بواسطة Defender لنقطة النهاية على macOS. استخدم الأمر التالي لسرد جميع التهديدات المكتشفة:

    mdatp threat list

    تظهر النتيجة معلومات مثل هذه:

    ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Name: Behavior: MacOS/MacOSChangeFileTest

Type: "behavior"

Detection time: Tue May 7 20:23:41 2024

Status: "quarantined"

إذا كان لديك Microsoft Defender لنقطة النهاية P2/P1 أو Microsoft Defender for Business، فانتقل إلى مدخل Microsoft Defender، وشاهد تنبيها بعنوان تم حظر سلوك "MacOSChangeFileTest" المشبوه.