Microsoft Defender Virüsten Koruma'da davranış izleme
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- İş için Microsoft Defender
- Bireyler için Microsoft Defender
- Microsoft Defender Virüsten Koruma
Davranış izleme, Microsoft Defender Virüsten Koruma'nın kritik bir algılama ve koruma işlevidir.
Uygulamaların, hizmetlerin ve dosyaların davranışına bağlı olarak olası tehditleri algılamak ve analiz etmek için işlem davranışını izler. Davranış izleme, yalnızca imza tabanlı algılamaya (bilinen kötü amaçlı yazılım desenlerini tanımlar) güvenmek yerine yazılımın gerçek zamanlı olarak nasıl davrandığını gözlemlemeye odaklanır. Bunun için gerekenler şunlardır:
Real-Time Tehdit Algılama:
- İşlemleri, dosya sistemi etkinliklerini ve sistem içindeki etkileşimleri sürekli gözlemleyin.
- Defender Virüsten Koruma, kötü amaçlı yazılım veya diğer tehditlerle ilişkili desenleri tanımlayabilir. Örneğin, mevcut dosyalarda olağan dışı değişiklikler yapan, otomatik başlangıç kayıt defteri (ASEP) anahtarlarını değiştiren veya oluşturan işlemleri ve dosya sisteminde veya yapısında yapılan diğer değişiklikleri arar.
Dinamik Yaklaşım:
Statik, imza tabanlı algılamadan farklı olarak, davranış izleme yeni ve gelişen tehditlere uyum sağlar.
Microsoft Defender Virüsten Koruma önceden tanımlanmış desenleri kullanır ve yazılımın yürütme sırasında nasıl davrandığını gözlemler. Önceden tanımlanmış herhangi bir desene uymayan kötü amaçlı yazılımlar için virüsten koruma Microsoft Defender anomali algılama kullanır.
Bir program şüpheli davranış gösteriyorsa (örneğin, kritik sistem dosyalarını değiştirmeye çalışırken), Microsoft Defender Virüsten Koruma daha fazla zarar gelmesini önlemek için eylem gerçekleştirebilir ve önceki kötü amaçlı yazılım eylemlerini geri alabilir.
Davranış izleme, Defender Virüsten Koruma'nın yalnızca bilinen imzalara güvenmek yerine gerçek zamanlı eylemlere ve davranışlara odaklanarak ortaya çıkan tehditleri proaktif olarak algılama becerisini geliştirir.
Aşağıdaki özellikler davranış izlemesine bağlıdır.
Kötü amaçlı yazılımdan koruma:
- Göstergeler, Dosya karması, izin ver/engelle
Ağ Koruması:
- Göstergeler, IP adresi/URL, izin ver/engelle
- Web İçeriği Filtreleme, izin ver/engelle
Not
Davranış izleme, kurcalama koruması tarafından korunur.
Resimden kaldırmak için davranış izlemeyi geçici olarak devre dışı bırakmak için önce Sorun Giderme modunu etkinleştirmek, Kurcalama Koruması'nı devre dışı bırakmak ve ardından davranış izlemeyi devre dışı bırakmak istiyorsunuz.
Davranış izleme ilkesini değiştirme
Aşağıdaki tabloda davranış izlemeyi yapılandırmanın farklı yolları gösterilmektedir.
| Yönetim aracı | Name | Bağlantılar |
|---|---|---|
| Güvenlik Ayarları Yönetimi | Davranış izlemeye izin ver | Bu makale |
| Intune | Davranış izlemeye izin ver | Intune için Microsoft Defender Virüsten Koruma için Windows Virüsten Koruma ilke ayarları |
| CSP | AllowBehaviorMonitoring | Defender İlkesi CSP |
| kiracı ekleme Configuration Manager | Davranış izlemeyi açma | Kiracıya bağlı cihazlar için Microsoft Defender Virüsten Koruma'dan Windows Virüsten Koruma ilke ayarları |
| Grup İlkesi | Davranış izlemeyi açma | Windows 11 2023 Güncelleştirmesi (23H2) için grup ilkesi Ayarları Başvuru Elektronik Tablosu'nı indirin |
| PowerShell | Set-Preference -DisableBehaviorMonitoring | Set-MpPreference |
| WMI | boolean DisableBehaviorMonitoring; | MSFT_MpPreference sınıfı |
İş için Microsoft Defender kullanıyorsanız bkz. İş için Microsoft Defender'de yeni nesil koruma ilkelerinizi gözden geçirme veya düzenleme.
PowerShell kullanarak davranış izleme ayarlarını değiştirme
Davranış izleme ayarlarını değiştirmek için aşağıdaki komutu kullanın:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
TrueDavranış izlemeyi devre dışı bırakır.FalseDavranış izlemeyi etkinleştirir.
Daha fazla bilgi için bkz . Set-MpPreference.
PowerShell'den davranış izleme durumunu sorgulama
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
Döndürülen değer ise true, davranış izleme etkinleştirilir.
Gelişmiş Tehdit Avcılığı'nı kullanarak davranış izleme durumunu sorgulama
Davranış izleme durumunu sorgulamak için Gelişmiş Avcılık (AH) kullanabilirsiniz.
Microsoft Defender XDR, Uç Nokta için Microsoft Defender Plan 2 veya İş için Microsoft Defender gerektirir.
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
Yüksek CPU kullanımı sorunlarını giderme
Davranış izlemeyle ilgili algılamalar "Davranış" ile başlar.
içinde MsMpEng.exeyüksek CPU kullanımını araştırırken, sorunların devam etmesi için davranış izlemeyi geçici olarak devre dışı bırakabilirsiniz.
Yüksek cpu kullanımına katkıda bulunan \path\process, işlem ve/veya dosya uzantılarını bulmak için Microsoft Defender Virüsten Koruma için Performans çözümleyicisini kullanabilirsiniz. Ardından bu öğeleri Bağlamsal Dışlama'ya ekleyebilirsiniz.
Daha fazla bilgi için bkz. Microsoft Defender Virüsten Koruma için performans çözümleyicisi.
Davranış izlemeden kaynaklanan yüksek CPU kullanımı görüyorsanız, aşağıdaki öğelerin her birini sırayla geri döndürerek sorunu gidermeye devam edin. Sorunun nerede olabileceğini belirlemek için her öğeyi geri döndürdikten sonra davranış izlemeyi yeniden etkinleştirin.
- platform güncelleştirmesi
- altyapı güncelleştirmesi
- güvenlik bilgileri güncelleştirmesi.
Yüksek CPU kullanımı sorunlarıyla karşılaşmaya devam ediyorsanız Microsoft desteğine başvurun ve İstemci Çözümleyicisi verilerinizi hazır bulundurun.
Soruna davranış izleme neden olmuyorsa, günlük bilgilerini toplamak için Microsoft Defender Virüsten Koruma için Performans çözümleyicisi'ni kullanın. ve a -akullanarak a -c iki farklı günlük toplayın. Microsoft desteğine başvurarak bu bilgileri hazır bulundurun.
Daha fazla bilgi için bkz. Windows'da gelişmiş sorun giderme için veri toplama.