Gedragsblokkering van cliënt

Van toepassing op:

Platform

  • Windows

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Overzicht

Clientgedragsblokkering is een onderdeel van gedragsblokkerings- en insluitingsmogelijkheden in Defender voor Eindpunt. Omdat verdacht gedrag wordt gedetecteerd op apparaten (ook wel clients of eindpunten genoemd), worden artefacten (zoals bestanden of toepassingen) automatisch geblokkeerd, gecontroleerd en hersteld.

Cloud- en clientbeveiliging

Antivirusbeveiliging werkt het beste wanneer deze is gekoppeld aan cloudbeveiliging.

Hoe clientgedragsblokkering werkt

Microsoft Defender Antivirus kan verdacht gedrag, schadelijke code, bestandsloze en in-memory aanvallen en meer op een apparaat detecteren. Wanneer verdacht gedrag wordt gedetecteerd, controleert Microsoft Defender Antivirus deze verdachte gedragingen en de bijbehorende processtructuren naar de cloudbeveiligingsservice. Machine learning maakt binnen milliseconden onderscheid tussen schadelijke toepassingen en goed gedrag en classificeert elk artefact. Zodra een artefact in bijna realtime schadelijk blijkt te zijn, wordt het op het apparaat geblokkeerd.

Wanneer er verdacht gedrag wordt gedetecteerd, wordt er een waarschuwing gegenereerd en zichtbaar terwijl de aanval is gedetecteerd en gestopt; waarschuwingen, zoals een 'initiële toegangswaarschuwing', worden geactiveerd en worden weergegeven in de Microsoft 365 Defender-portal (voorheen Microsoft 365 Defender).

Clientgedragsblokkering is effectief omdat het niet alleen helpt voorkomen dat een aanval wordt gestart, maar ook kan helpen bij het stoppen van een aanval die is gestart. En met feedbacklusblokkering (een andere mogelijkheid van gedragsblokkering en insluiting) worden aanvallen voorkomen op andere apparaten in uw organisatie.

Detecties op basis van gedrag

Detecties op basis van gedrag worden benoemd volgens de MITRE ATT-&CK-matrix voor ondernemingen. De naamconventie helpt bij het identificeren van de aanvalsfase waarin het schadelijke gedrag is waargenomen:

Tactiek Detectiebedreigingsnaam
Initiële toegang Behavior:Win32/InitialAccess.*!ml
Uitvoering Behavior:Win32/Execution.*!ml
Persistentie Behavior:Win32/Persistence.*!ml
Escalatie van bevoegdheden Behavior:Win32/PrivilegeEscalation.*!ml
Ontwijking van verdediging Behavior:Win32/DefenseEvasion.*!ml
Toegang tot referenties Behavior:Win32/CredentialAccess.*!ml
Ontdekken Behavior:Win32/Discovery.*!ml
Zijdelingse verplaatsing Behavior:Win32/LateralMovement.*!ml
Verzameling Behavior:Win32/Collection.*!ml
Opdracht en besturingselement Behavior:Win32/CommandAndControl.*!ml
Exfiltratie Behavior:Win32/Exfiltration.*!ml
Impact Behavior:Win32/Impact.*!ml
Uncategorized Behavior:Win32/Generic.*!ml

Tip

Zie recente wereldwijde bedreigingsactiviteiten voor meer informatie over specifieke bedreigingen.

Clientgedragsblokkering configureren

Als uw organisatie Defender voor Eindpunt gebruikt, is clientgedragsblokkering standaard ingeschakeld. Als u echter wilt profiteren van alle mogelijkheden van Defender voor Eindpunt, inclusief gedragsblokkering en insluiting, moet u ervoor zorgen dat de volgende functies en mogelijkheden van Defender voor Eindpunt zijn ingeschakeld en geconfigureerd: