Verhaltensüberwachungsdemonstration

Gilt für:

Die Verhaltensüberwachung in Microsoft Defender Antivirus überwacht das Prozessverhalten, um potenzielle Bedrohungen basierend auf dem Verhalten von Anwendungen, Diensten und Dateien zu erkennen und zu analysieren. Anstatt sich ausschließlich auf den Inhaltsabgleich zu verlassen, der bekannte Schadsoftwaremuster identifiziert, konzentriert sich die Verhaltensüberwachung darauf, zu beobachten, wie sich Software in Echtzeit verhält.

Szenarioanforderungen und Einrichtung

Überprüfen, ob der Microsoft Defender-Echtzeitschutz aktiviert ist

Um zu überprüfen, ob der Echtzeitschutz (Real-Time Protection, RTP) aktiviert ist, öffnen Sie ein Terminalfenster, kopieren Und führen Sie den folgenden Befehl aus:

mdatp health --field real_time_protection_enabled

Wenn RTP aktiviert ist, zeigt das Ergebnis den Wert 1 an.

Aktivieren der Verhaltensüberwachung für Microsoft Defender für Endpunkt

Weitere Informationen zum Aktivieren der Verhaltensüberwachung für Defender für Endpunkt finden Sie unter Bereitstellungsanweisungen.

Demonstration der Funktionsweise der Verhaltensüberwachung

So veranschaulichen Sie, wie die Verhaltensüberwachung eine Nutzlast blockiert:

  1. Erstellen Sie ein Bash-Skript mit einem Skript-/Text-Editor wie nano oder Visual Studio Code (VS Code):

    #! /usr/bin/bash
    echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
    echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
    sleep 5
    
  2. Speichern unter BM_test.sh

  3. Führen Sie den folgenden Befehl aus, um das Bash-Skript ausführbar zu machen:

    sudo chmod u+x BM_test.sh
    
  4. Führen Sie das Bash-Skript aus:

sudo bash BM_test.sh

Das Ergebnis zeigt Folgendes an:

zsh: killed sudo bash BM_test.sh

Die Datei wurde von Defender für Endpunkt unter macOS unter Quarantäne gesetzt. Verwenden Sie den folgenden Befehl, um alle entdeckten Bedrohungen aufzulisten:

mdatp threat list

Das Ergebnis zeigt Folgendes an:

ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx"

Name: Verhalten: macOS/macOSChangeFileTest

Typ: "behavior"

Erkennungszeit: Di 7 Mai 20:23:41 2024

Status: "unter Quarantäne"

Wenn Sie über Microsoft Defender für Endpunkt P2/P1 oder Microsoft Defender for Business verfügen, wechseln Sie zum Microsoft Defender XDR-Portal, und Es wird eine Warnung mit dem Folgenden angezeigt: "Verdächtiges 'MacOSChangeFileTest'-Verhalten wurde blockiert" angezeigt.