Gedragsblokkering van cliënt
Van toepassing op:
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft 365 Defender
- Microsoft Defender Antivirus
Platform
- Windows
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Overzicht
Clientgedragsblokkering is een onderdeel van gedragsblokkerings- en insluitingsmogelijkheden in Defender voor Eindpunt. Omdat verdacht gedrag wordt gedetecteerd op apparaten (ook wel clients of eindpunten genoemd), worden artefacten (zoals bestanden of toepassingen) automatisch geblokkeerd, gecontroleerd en hersteld.
Antivirusbeveiliging werkt het beste wanneer deze is gekoppeld aan cloudbeveiliging.
Hoe clientgedragsblokkering werkt
Microsoft Defender Antivirus kan verdacht gedrag, schadelijke code, bestandsloze en in-memory aanvallen en meer op een apparaat detecteren. Wanneer verdacht gedrag wordt gedetecteerd, controleert Microsoft Defender Antivirus deze verdachte gedragingen en de bijbehorende processtructuren naar de cloudbeveiligingsservice. Machine learning maakt binnen milliseconden onderscheid tussen schadelijke toepassingen en goed gedrag en classificeert elk artefact. Zodra een artefact in bijna realtime schadelijk blijkt te zijn, wordt het op het apparaat geblokkeerd.
Wanneer er verdacht gedrag wordt gedetecteerd, wordt er een waarschuwing gegenereerd en zichtbaar terwijl de aanval is gedetecteerd en gestopt; waarschuwingen, zoals een 'initiële toegangswaarschuwing', worden geactiveerd en worden weergegeven in de Microsoft 365 Defender-portal (voorheen Microsoft 365 Defender).
Clientgedragsblokkering is effectief omdat het niet alleen helpt voorkomen dat een aanval wordt gestart, maar ook kan helpen bij het stoppen van een aanval die is gestart. En met feedbacklusblokkering (een andere mogelijkheid van gedragsblokkering en insluiting) worden aanvallen voorkomen op andere apparaten in uw organisatie.
Detecties op basis van gedrag
Detecties op basis van gedrag worden benoemd volgens de MITRE ATT-&CK-matrix voor ondernemingen. De naamconventie helpt bij het identificeren van de aanvalsfase waarin het schadelijke gedrag is waargenomen:
| Tactiek | Detectiebedreigingsnaam |
|---|---|
| Initiële toegang | Behavior:Win32/InitialAccess.*!ml |
| Uitvoering | Behavior:Win32/Execution.*!ml |
| Persistentie | Behavior:Win32/Persistence.*!ml |
| Escalatie van bevoegdheden | Behavior:Win32/PrivilegeEscalation.*!ml |
| Ontwijking van verdediging | Behavior:Win32/DefenseEvasion.*!ml |
| Toegang tot referenties | Behavior:Win32/CredentialAccess.*!ml |
| Ontdekken | Behavior:Win32/Discovery.*!ml |
| Zijdelingse verplaatsing | Behavior:Win32/LateralMovement.*!ml |
| Verzameling | Behavior:Win32/Collection.*!ml |
| Opdracht en besturingselement | Behavior:Win32/CommandAndControl.*!ml |
| Exfiltratie | Behavior:Win32/Exfiltration.*!ml |
| Impact | Behavior:Win32/Impact.*!ml |
| Uncategorized | Behavior:Win32/Generic.*!ml |
Tip
Zie recente wereldwijde bedreigingsactiviteiten voor meer informatie over specifieke bedreigingen.
Clientgedragsblokkering configureren
Als uw organisatie Defender voor Eindpunt gebruikt, is clientgedragsblokkering standaard ingeschakeld. Als u echter wilt profiteren van alle mogelijkheden van Defender voor Eindpunt, inclusief gedragsblokkering en insluiting, moet u ervoor zorgen dat de volgende functies en mogelijkheden van Defender voor Eindpunt zijn ingeschakeld en geconfigureerd:
- Defender voor Eindpunt-basislijnen
- Apparaten die zijn onboarded naar Defender voor Eindpunt
- EDR in blokkeringsmodus
- Kwetsbaarheid voor aanvallen verminderen
- Beveiliging van de volgende generatie (antivirus, antimalware en andere mogelijkheden voor bedreigingsbeveiliging)
Tip
Als u op zoek bent naar informatie over antivirus voor andere platforms, raadpleegt u:
- Voorkeuren instellen voor Microsoft Defender voor Eindpunt in macOS
- Microsoft Defender voor Eindpunt op Mac
- macOS Antivirus-beleidsinstellingen voor Microsoft Defender Antivirus voor Intune
- Voorkeuren instellen voor Microsoft Defender voor Eindpunt in Linux
- Microsoft Defender voor Eindpunt op Linux
- Defender voor Eindpunt in Android-functies configureren
- Overzicht van Microsoft Defender voor Eindpunt op iOS