Monitoraggio del comportamento in antivirus Microsoft Defender
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender for Business
- Microsoft Defender per singoli utenti
- Antivirus Microsoft Defender
Il monitoraggio del comportamento è una funzionalità di rilevamento e protezione critica di Microsoft Defender Antivirus.
Monitora il comportamento dei processi per rilevare e analizzare potenziali minacce in base al comportamento di applicazioni, servizi e file. Invece di basarsi esclusivamente sul rilevamento basato su firma (che identifica i modelli di malware noti), il monitoraggio del comportamento è incentrato sull'osservazione del comportamento del software in tempo reale. Ecco cosa comporta:
Real-Time rilevamento delle minacce:
- Osservare continuamente processi, attività del file system e interazioni all'interno del sistema.
- Defender Antivirus può identificare modelli associati a malware o altre minacce. Ad esempio, cerca processi che apportano modifiche insolite ai file esistenti, modifica o creazione di chiavi asep (Automatic Startup Registry) e altre modifiche al file system o alla struttura.
Approccio dinamico:
A differenza del rilevamento statico basato su firma, il monitoraggio del comportamento si adatta alle minacce nuove ed in continua evoluzione.
Microsoft Defender Antivirus usa modelli predefiniti e osserva il comportamento del software durante l'esecuzione. Per il malware che non rientra in alcun modello predefinito, Microsoft Defender Antivirus usa il rilevamento anomalie.
Se un programma mostra un comportamento sospetto (ad esempio, il tentativo di modificare i file di sistema critici), Microsoft Defender Antivirus può intervenire per evitare ulteriori danni e ripristinare alcune azioni malware precedenti.
Il monitoraggio del comportamento migliora la capacità di Defender Antivirus di rilevare in modo proattivo le minacce emergenti concentrandosi su azioni e comportamenti in tempo reale anziché basarsi esclusivamente su firme note.
Le funzionalità seguenti dipendono dal monitoraggio del comportamento.
Antimalware:
- Indicatori, hash file, consenti/blocco
Protezione di rete:
- Indicatori, indirizzo IP/URL, consenti/blocca
- Filtro contenuto Web, consenti/blocca
Nota
Il monitoraggio del comportamento è protetto dalla protezione dalle manomissioni.
Per disabilitare temporaneamente il monitoraggio del comportamento per rimuoverlo dall'immagine, si vuole innanzitutto abilitare la modalità di risoluzione dei problemi, disabilitare Protezione antimanomissione e quindi disabilitare il monitoraggio del comportamento.
Modificare i criteri di monitoraggio del comportamento
La tabella seguente illustra i diversi modi per configurare il monitoraggio del comportamento.
| Strumento di gestione | Nome | Collegamenti |
|---|---|---|
| Gestione delle impostazioni di sicurezza | Consenti monitoraggio del comportamento | Questo articolo |
| Intune | Consenti monitoraggio del comportamento | Impostazioni dei criteri di Windows Antivirus per Microsoft Defender Antivirus per Intune |
| CSP | AllowBehaviorMonitoring | Provider di servizi di configurazione di Defender Policy |
| collegamento tenant Configuration Manager | Attivare il monitoraggio del comportamento | Impostazioni dei criteri di Windows Antivirus da Microsoft Defender Antivirus per i dispositivi collegati al tenant |
| Criteri di gruppo | Attivare il monitoraggio del comportamento | Scaricare Criteri di gruppo foglio di calcolo di riferimento delle impostazioni per Windows 11 aggiornamento 2023 (23H2) |
| PowerShell | Set-Preference -DisableBehaviorMonitoring | Set-MpPreference |
| WMI | boolean DisableBehaviorMonitoring; | classe MSFT_MpPreference |
Se si usa Microsoft Defender for Business, vedere Esaminare o modificare i criteri di protezione di nuova generazione in Microsoft Defender for Business.
Modificare le impostazioni di monitoraggio del comportamento usando PowerShell
Usare il comando seguente per modificare le impostazioni di monitoraggio del comportamento:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
Truedisabilita il monitoraggio del comportamento.Falseabilita il monitoraggio del comportamento.
Per altre informazioni, vedere Set-MpPreference.
Eseguire query sullo stato di monitoraggio del comportamento da PowerShell
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
Se il valore restituito è true, il monitoraggio del comportamento è abilitato.
Eseguire query sullo stato di monitoraggio del comportamento usando Ricerca avanzata
È possibile usare La ricerca avanzata (AH) per eseguire query sullo stato del monitoraggio del comportamento.
Richiede Microsoft Defender XDR, Microsoft Defender per endpoint piano 2 o Microsoft Defender for Business.
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
Risoluzione dei problemi relativi all'utilizzo elevato della CPU
I rilevamenti correlati al monitoraggio del comportamento iniziano con "Comportamento".
Quando si analizza l'utilizzo elevato della CPU in MsMpEng.exe, è possibile disabilitare temporaneamente il monitoraggio del comportamento per verificare se i problemi continuano.
È possibile usare Analizzatore prestazioni per Microsoft Defender Antivirus per trovare \percorso\processo, processo e/o estensioni di file che contribuiscono all'utilizzo elevato della CPU. È quindi possibile aggiungere questi elementi all'esclusione contestuale.
Per altre informazioni, vedi Analizzatore prestazioni per Antivirus Microsoft Defender.
Se viene visualizzato un utilizzo elevato della CPU causato dal monitoraggio del comportamento, continuare a risolvere il problema ripristinando ognuno degli elementi seguenti nell'ordine indicato. Riabilitare il monitoraggio del comportamento dopo aver ripristinato ogni elemento per identificare dove potrebbe essere il problema.
- aggiornamento della piattaforma
- aggiornamento del motore
- aggiornamento dell'intelligence per la sicurezza.
Se si verificano ancora problemi di utilizzo elevato della CPU, contattare il supporto tecnico Microsoft e preparare i dati dell'analizzatore client.
Se il monitoraggio del comportamento non causa il problema, usare Analizzatore prestazioni per Microsoft Defender Antivirus per raccogliere le informazioni di log. Raccogliere due log diversi usando a -c e a -a. Preparare queste informazioni quando si contatta il supporto tecnico Microsoft.
Per altre informazioni, vedere Raccolta dati per la risoluzione dei problemi avanzata in Windows.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per