Viselkedésfigyelés Microsoft Defender víruskeresőben
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 1. csomag
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender Vállalati verzió
- Microsoft Defender egyéni felhasználók számára
- Microsoft Defender víruskereső
A viselkedésfigyelés a Microsoft Defender víruskereső kritikus észlelési és védelmi funkciója.
Figyeli a folyamat viselkedését, hogy észlelje és elemezze a potenciális fenyegetéseket az alkalmazások, szolgáltatások és fájlok viselkedése alapján. Ahelyett, hogy kizárólag aláírásalapú észlelésre támaszkodunk (amely azonosítja az ismert kártevőmintákat), a viselkedésfigyelés a szoftver valós idejű viselkedésének megfigyelésére összpontosít. Ez a következőkkel jár:
Real-Time fenyegetésészlelés:
- Folyamatok, fájlrendszerbeli tevékenységek és interakciók folyamatos megfigyelése a rendszeren belül.
- Defender víruskereső azonosíthatja a kártevőkkel vagy más fenyegetésekkel kapcsolatos mintákat. Megkeresi például a meglévő fájlok szokatlan módosításait, az automatikus indítási beállításjegyzék (ASEP) kulcsainak módosítását vagy létrehozását, valamint a fájlrendszer vagy a struktúra egyéb módosításait.
Dinamikus megközelítés:
A statikus, aláírásalapú észleléstől eltérően a viselkedésfigyelés alkalmazkodik az új és változó fenyegetésekhez.
Microsoft Defender víruskereső előre meghatározott mintákat használ, és megfigyeli, hogyan viselkedik a szoftver a végrehajtás során. Az előre definiált mintához nem illő kártevők esetén Microsoft Defender víruskereső anomáliadetektált állapotot használ.
Ha egy program gyanús viselkedést mutat (például megkísérli módosítani a kritikus rendszerfájlokat), Microsoft Defender víruskereső lépéseket tehet a további károk elkerülése érdekében, és visszaállíthat néhány korábbi kártevő-műveletet.
A viselkedésfigyelés javítja Defender víruskereső képességét a felmerülő fenyegetések proaktív észlelésére azáltal, hogy a valós idejű műveletekre és viselkedésekre összpontosít, és nem kizárólag az ismert aláírásokra támaszkodik.
Az alábbi funkciók a viselkedésfigyeléstől függenek.
Kártevőirtó:
- Jelzők, fájlkivonat, engedélyezés/blokk
Hálózatvédelem:
- Jelzők, IP-cím/URL-cím, engedélyezés/blokk
- Webes tartalomszűrés, engedélyezés/letiltás
Megjegyzés:
A viselkedésfigyelést illetéktelen hozzáférés elleni védelem védi.
A viselkedésfigyelés ideiglenes letiltásához először engedélyeznie kell a hibaelhárítási módot, le kell tiltania az Illetéktelen módosítás elleni védelmet, majd le kell tiltania a viselkedésfigyelést.
A viselkedésfigyelési szabályzat módosítása
Az alábbi táblázat a viselkedésfigyelés konfigurálásának különböző módjait mutatja be.
| Felügyeleti eszköz | Name (Név) | Hivatkozások |
|---|---|---|
| Biztonsági beállítások kezelése | Viselkedésfigyelés engedélyezése | Ez a cikk |
| Intune | Viselkedésfigyelés engedélyezése | Windows víruskereső házirend-beállításai Microsoft Defender víruskeresőhöz Intune |
| CSP | AllowBehaviorMonitoring | Defender Policy CSP |
| Configuration Manager bérlő csatolása | Viselkedésfigyelés bekapcsolása | Windows víruskereső házirend-beállításai Microsoft Defender víruskeresőből bérlőhöz csatlakoztatott eszközökhöz |
| Csoportházirend | Viselkedésfigyelés bekapcsolása | A Windows 11 2023-ra szóló frissítés (23H2) Csoportházirend-beállítások referenciatáblájának letöltése |
| PowerShell- | Set-Preference -DisableBehaviorMonitoring | Set-MpPreference |
| WMI | boolean DisableBehaviorMonitoring; | MSFT_MpPreference osztály |
Ha Microsoft Defender Vállalati verzió használ, olvassa el A következő generációs védelmi szabályzatok áttekintése vagy szerkesztése Microsoft Defender Vállalati verzió című témakört.
A viselkedésfigyelési beállítások módosítása a PowerShell használatával
A viselkedésfigyelési beállítások módosításához használja a következő parancsot:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
-
Trueletiltja a viselkedésfigyelést. -
Falseengedélyezi a viselkedésfigyelést.
További információ: Set-MpPreference.
A viselkedésfigyelési állapot lekérdezése a PowerShellből
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
Ha a visszaadott érték , truea viselkedésfigyelés engedélyezve van.
A viselkedésfigyelési állapot lekérdezése speciális veszélyforrás-kereséssel
Az Advanced Hunting (AH) használatával lekérdezheti a viselkedésfigyelés állapotát.
Microsoft Defender XDR, Végponthoz készült Microsoft Defender 2. csomag vagy Microsoft Defender Vállalati verzió szükséges.
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
Magas processzorhasználattal kapcsolatos hibák elhárítása
A viselkedésmonitorozással kapcsolatos észlelések a "Behavior" (Viselkedés) kezdetűek.
A magas processzorhasználat MsMpEng.exevizsgálatakor ideiglenesen letilthatja a viselkedésfigyelést, így ellenőrizheti, hogy a problémák továbbra is fennállnak-e.
A Microsoft Defender Víruskereső teljesítményelemzője segítségével megkeresheti azokat a \path\process, process és/vagy fájlbővítményeket, amelyek hozzájárulnak a magas processzorkihasználtsághoz. Ezután hozzáadhatja ezeket az elemeket a környezetfüggő kizáráshoz.
További információ: A Microsoft Defender víruskereső teljesítményelemzője.
Ha a viselkedésfigyelés magas processzorhasználatot tapasztal, folytassa a probléma elhárítását az alábbi elemek sorrendjének visszaállításával. Engedélyezze újra a viselkedésfigyelést az egyes elemek visszaállítása után, hogy megállapítsa, hol lehet a probléma.
- platformfrissítés
- motorfrissítés
- biztonságiintelligencia-frissítés.
Ha továbbra is magas processzorhasználati problémákat tapasztal, forduljon a Microsoft ügyfélszolgálatához, és készítse fel az ügyfélelemző adatait.
Ha a viselkedésmonitorozás nem okozza a problémát, a Microsoft Defender Víruskereső teljesítményelemzője segítségével gyűjtsön naplóadatokat. Gyűjtsön két különböző naplót a és a -aa használatávala -c. Ha kapcsolatba lép a Microsoft ügyfélszolgálatával, készítse fel ezeket az információkat.
További információ: Adatgyűjtés a windowsos speciális hibaelhárításhoz.