Monitorování chování v Microsoft Defender Antivirus
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender pro firmy
- Microsoft Defender pro jednotlivce
- Antivirová ochrana v Microsoft Defenderu
Monitorování chování je kritická funkce detekce a ochrany Microsoft Defender Antivirus.
Monitoruje chování procesů a zjišťuje a analyzuje potenciální hrozby na základě chování aplikací, služeb a souborů. Místo toho, aby se monitorování chování spoléhalo výhradně na detekci založenou na signaturách (která identifikuje známé vzory malwaru), zaměřuje se na sledování chování softwaru v reálném čase. Tady je, co to obnáší:
detekce hrozeb Real-Time:
- Nepřetržitě sledujte procesy, aktivity systému souborů a interakce v rámci systému.
- Antivirová ochrana v programu Defender dokáže identifikovat vzory spojené s malwarem nebo jinými hrozbami. Hledá například procesy, které v existujících souborech dělají neobvyklé změny, upravují nebo vytvářejí klíče automatického spouštěcího registru (ASEP) a další změny systému souborů nebo struktury.
Dynamický přístup:
Na rozdíl od statické detekce založené na signaturách se monitorování chování přizpůsobuje novým a vyvíjejícím se hrozbám.
Microsoft Defender Antivirus používá předdefinované vzory a sleduje, jak se software chová během provádění. V případě malwaru, který neodpovídá žádnému předdefinovanému vzoru, Microsoft Defender Antivirus používá detekci anomálií.
Pokud program vykazuje podezřelé chování (například při pokusu o úpravu důležitých systémových souborů), Microsoft Defender Antivirus může podniknout kroky, které zabrání dalším škodám, a vrátit zpět některé předchozí akce malwaru.
Monitorování chování zlepšuje schopnost programu Defender Antivirus proaktivně detekovat vznikající hrozby tím, že se zaměřuje na akce a chování v reálném čase a nespoléhat se pouze na známé podpisy.
Následující funkce závisí na monitorování chování.
Antimalwarový software:
- Indikátory, hodnota hash souboru, allow/block
Ochrana sítě:
- Indikátory, IP adresa/URL, povolení/blokování
- Filtrování webového obsahu, povolení/blokování
Poznámka
Monitorování chování je chráněno ochranou proti manipulaci.
Pokud chcete monitorování chování dočasně zakázat, abyste ho z obrázku odebrali, musíte nejdřív povolit režim řešení potíží, zakázat ochranu před falšováním a pak zakázat monitorování chování.
Změna zásad monitorování chování
Následující tabulka ukazuje různé způsoby konfigurace monitorování chování.
Nástroj pro správu | Name (Název) | Odkazy |
---|---|---|
Správa nastavení zabezpečení | Povolit monitorování chování | Tento článek |
Intune | Povolit monitorování chování | Nastavení zásad antivirové ochrany pro windows pro Microsoft Defender Antivirus pro Intune |
CSP | AllowBehaviorMonitoring | Defender Policy CSP |
připojení tenanta Configuration Manager | Zapnutí monitorování chování | Nastavení zásad antivirové ochrany pro Windows z Microsoft Defender Antivirové ochrany pro zařízení připojená k tenantovi |
Zásady skupiny | Zapnutí monitorování chování | Stáhnout referenční tabulku nastavení Zásady skupiny pro aktualizaci Windows 11 2023 (23H2) |
PowerShell | Set-Preference -DisableBehaviorMonitoring | Set-MpPreference |
Služby wmi | boolean DisableBehaviorMonitoring; | MSFT_MpPreference třída |
Pokud používáte Microsoft Defender pro firmy, přečtěte si článek Kontrola nebo úprava zásad ochrany nové generace v Microsoft Defender pro firmy.
Úprava nastavení monitorování chování pomocí PowerShellu
Pomocí následujícího příkazu upravte nastavení monitorování chování:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
True
zakáže monitorování chování.False
umožňuje monitorování chování.
Další informace najdete v tématu Set-MpPreference.
Dotaz na stav monitorování chování z PowerShellu
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
Pokud je true
vrácená hodnota , je povoleno monitorování chování.
Dotaz na stav monitorování chování pomocí rozšířeného proaktivního vyhledávání
Pomocí rozšířeného proaktivního vyhledávání (AH) se můžete dotazovat na stav monitorování chování.
Vyžaduje Microsoft Defender XDR, Microsoft Defender for Endpoint Plán 2 nebo Microsoft Defender pro firmy.
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
Řešení potíží s vysokým využitím procesoru
Detekce související s monitorováním chování začínají na "Chování".
Při zkoumání vysokého využití procesoru v MsMpEng.exe
nástroji můžete dočasně zakázat monitorování chování, abyste zjistili, jestli problémy přetrvávají.
Analyzátor výkonu pro Microsoft Defender Antivirovou ochranu můžete použít k vyhledání přípon \path\proces, procesů nebo souborů, které přispívají k vysokému využití procesoru. Tyto položky pak můžete přidat do kontextového vyloučení.
Další informace najdete v tématu Analyzátor výkonu pro Microsoft Defender Antivirus.
Pokud dochází k vysokému využití procesoru způsobené monitorováním chování, pokračujte v řešení potíží s každou z následujících položek v pořadí. Po vrácení každé položky znovu povolte monitorování chování, abyste zjistili, kde může být problém.
- aktualizace platformy
- aktualizace modulu
- aktualizace bezpečnostních informací.
Pokud stále dochází k problémům s vysokým využitím procesoru, obraťte se na podporu Microsoftu a připravte si data nástroje Client Analyzer.
Pokud monitorování chování problém nezpůsobuje, shromážděte informace protokolu pomocí Analyzátoru výkonu pro Microsoft Defender Antivirus. Shromážděte dva různé protokoly pomocí a -c
a a -a
. Až budete kontaktovat podporu Microsoftu, připravte si tyto informace.
Další informace najdete v tématu Shromažďování dat pro pokročilé řešení potíží ve Windows.