Toiminnan valvonta Microsoft Defender virustentorjuntaohjelmassa
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender for Business
- Microsoft Defender yksityishenkilöille
- Microsoft Defenderin virustentorjunta
Toiminnan valvonta on Microsoft Defender virustentorjunnan kriittinen tunnistus- ja suojaustoiminto.
Valvoo prosessin toimintaa tunnistaakseen ja analysoidakseen mahdollisia uhkia sovellusten, palveluiden ja tiedostojen käyttäytymisen perusteella. Sen sijaan, että luottaisit pelkästään allekirjoituspohjaiseen tunnistamiseen (joka tunnistaa tunnetut haittaohjelmamallit), toiminnan valvonta keskittyy tarkkailemaan, miten ohjelmisto toimii reaaliaikaisesti. Siihen liittyy seuraavat:
Real-Time Uhkien tunnistaminen:
- Seuraa jatkuvasti prosesseja, tiedostojärjestelmän toimintoja ja järjestelmän vuorovaikutuksia.
- Defenderin virustentorjuntaohjelma voi tunnistaa haittaohjelmistoon tai muihin uhkiin liittyviä malleja. Se etsii esimerkiksi prosesseja, jotka tekevät epätavallisia muutoksia olemassa oleviin tiedostoihin, muokkaavat tai luovat automaattisen käynnistysrekisterin (ASEP) avaimia sekä muita muutoksia tiedostojärjestelmään tai rakenteeseen.
Dynaaminen lähestymistapa:
Toisin kuin staattinen allekirjoituspohjainen tunnistaminen, toiminnan valvonta sopeutuu uusiin ja kehittyviin uhkiin.
Microsoft Defender virustentorjuntaohjelma käyttää ennalta määritettyjä malleja ja havaitsee, miten ohjelmisto toimii suorittamisen aikana. Haittaohjelmille, jotka eivät sovi mihinkään ennalta määritettyihin kuvioihin, Microsoft Defender virustentorjunta käyttää poikkeamien tunnistamista.
Jos ohjelma näyttää epäilyttävää toimintaa (esimerkiksi yrittää muokata kriittisiä järjestelmätiedostoja), Microsoft Defender virustentorjunta voi ryhtyä toimiin estääkseen lisähaittoja, ja palauttaa joitakin aiempia haittaohjelmatoimintoja.
Toiminnan valvonta parantaa Defenderin virustentorjuntaohjelman kykyä havaita uusia uhkia ennakoivasti keskittymällä reaaliaikaisiin toimintoihin ja käyttäytymisiin sen sijaan, että luottaisit pelkästään tunnettuihin allekirjoituksiin.
Seuraavat ominaisuudet riippuvat toiminnan valvonnasta.
Haittaohjelmien torjunta:
- Ilmaisimet, tiedoston hajautusarvo, salli/estä
Verkon suojaus:
- Ilmaisimet, IP-osoite/URL-osoite, allow/block
- Verkkosisällön suodatus, salliminen ja estäminen
Huomautus
Toiminnan valvonta on suojattu peukaloinnin suojauksella.
Jos haluat poistaa käytöstä toiminnan seurannan tilapäisesti poistaaksesi sen kuvasta, ota ensin vianmääritystila käyttöön, poista peukalointisuojaus käytöstä ja poista sitten toiminnan valvonta käytöstä.
Toiminnan valvontakäytännön muuttaminen
Seuraavassa taulukossa on eri tapoja määrittää toiminnan valvonta.
| Hallintatyökalu | Nimi | Linkit |
|---|---|---|
| Suojausasetusten hallinta | Salli toiminnan valvonta | Tämä artikkeli |
| Intune | Salli toiminnan valvonta | windowsin virustentorjuntaohjelman Microsoft Defender käytäntöasetukset Intune |
| CSP | AllowBehaviorMonitoring | Defender Policy CSP |
| Configuration Manager alihallinnan liittäminen | Ota käyttöön toiminnan valvonta | Windowsin virustentorjuntaohjelman asetukset Microsoft Defender virustentorjuntaohjelmasta vuokraajaan liitetyissä laitteissa |
| Ryhmäkäytäntö | Ota käyttöön toiminnan valvonta | Lataa ryhmäkäytäntö asetusten viitelaskentataulukko Windows 11 2023 -päivitykselle (23H2) |
| PowerShell | Set-Preference -DisableBehaviorMonitoring | Set-MpPreference |
| WMI | boolean DisableBehaviorMonitoring; | MSFT_MpPreference luokka |
Jos käytät Microsoft Defender for Business, katso kohta Seuraavan sukupolven suojauskäytäntöjen tarkistaminen tai muokkaaminen Microsoft Defender for Business.
Muokkaa toiminnan valvonta-asetuksia PowerShellin avulla
Muokkaa toiminnan valvonta-asetuksia seuraavan komennon avulla:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
Truepoistaa käytöstä toiminnan valvonnan.Falseottaa käyttöön toiminnan seurannan.
Lisätietoja on kohdassa Set-MpPreference.
Toiminnan seurannan tilan kysely PowerShellistä
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
Jos palautettu arvo on true, toiminnan valvonta on käytössä.
Tee kysely toiminnan seurannan tilasta kehittyneen metsästyksen avulla
Lisämetsästyksen (AH) avulla voit kysellä toiminnan seurannan tilaa.
Edellyttää Microsoft Defender XDR, Microsoft Defender for Endpoint palvelupakettia 2 tai Microsoft Defender for Business.
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
Suuren suoritinkäytön vianmääritys
Toiminnan valvontaan liittyvät tunnistuksia alkaa "Toiminta".
Kun tutkit suorittimen suurta käyttöä kohteessa MsMpEng.exe, voit tilapäisesti poistaa käytöstä toiminnan seurannan nähdäksesi, jatkuvatko ongelmat.
Performance Analyzerin avulla voit Microsoft Defender virustentorjuntaohjelman avulla etsiä \path\process-, process- ja/or-extension-tunnisteita, jotka vaikuttavat suorittimen korkeaan käyttöön. Voit sitten lisätä nämä kohteet kontekstipoikkeamiseen.
Lisätietoja on artikkelissa suorituskyvyn analysointi Microsoft Defender virustentorjuntaa varten.
Jos toiminnan valvominen aiheuttaa suorittimen suuren käytön, jatka ongelman vianmääritystä palauttamalla jokainen seuraavista kohteista järjestyksessä. Ota toiminnan valvonta uudelleen käyttöön kunkin kohteen palautuksen jälkeen, jotta voit selvittää, missä ongelma voi olla.
- käyttöympäristön päivitys
- moduulin päivitys
- tietoturvatietojen päivitys.
Jos kohtaat edelleen suuria suoritinkäyttöongelmia, ota yhteyttä Microsoftin tukeen ja valmistele Client Analyzer -tietosi.
Jos toiminnan valvonta ei aiheuta ongelmaa, kerää lokitiedot Microsoft Defender virustentorjuntaohjelman Performance Analyzerilla. Kerää kaksi eri lokia käyttämällä ja a -ca -a. Valmistele nämä tiedot, kun otat yhteyttä Microsoftin tukeen.
Lisätietoja on ohjeaiheessa Tietojen kerääminen Windowsin edistynyttä vianmääritystä varten.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle