Gedragsblokkering van cliënt

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Overzicht

Clientgedragsblokkering is een onderdeel van de mogelijkheden voor het blokkeren en inperking van gedrag in Defender voor Eindpunt. Aangezien verdacht gedrag wordt gedetecteerd op apparaten (ook wel clients of eindpunten genoemd), worden artefacten (zoals bestanden of toepassingen) automatisch geblokkeerd, gecontroleerd en gesaneerd.

Cloud- en clientbeveiliging.

Antivirusbeveiliging werkt het beste in combinatie met cloudbeveiliging.

Hoe clientgedragsblokkering werkt

Microsoft Defender Antivirus kan verdacht gedrag, schadelijke code, bestandsloze en in-memory-aanvallen en meer detecteren op een apparaat. Wanneer verdacht gedrag wordt gedetecteerd, Microsoft Defender Antivirus en verzendt u die verdachte gedragingen en hun procesbomen naar de cloudbeveiligingsservice. Machine learning maakt binnen milliseconden onderscheid tussen schadelijke toepassingen en goed gedrag en classificeert elk artefact. In bijna realtime, zodra een artefact schadelijk blijkt te zijn, wordt het geblokkeerd op het apparaat.

Wanneer een verdacht gedrag wordt gedetecteerd, wordt er een waarschuwing gegenereerd en is deze zichtbaar in de Microsoft 365 Defender portal (voorheen Microsoft 365 Defender).

Clientgedragsblokkering is effectief omdat hiermee niet alleen wordt voorkomen dat een aanval wordt gestart, maar het kan ook helpen een aanval te stoppen die is begonnen met uitvoeren. En met het blokkeren van feedback-loop (een andere mogelijkheid voor het blokkeren en inperking van gedrag) worden aanvallen op andere apparaten in uw organisatie voorkomen.

Detecties op basis van gedrag

Detecties op basis van gedrag worden benoemd op basis van de MITRE ATT-&CK Matrix voor Enterprise. De naamgevingsconventie helpt bij het identificeren van de aanvalsfase waarin het schadelijke gedrag is waargenomen:

Tactiek Naam van detectiebedreiging
Initiële toegang Behavior:Win32/InitialAccess.*!ml
Uitvoering Behavior:Win32/Execution.*!ml
Persistentie Behavior:Win32/Persistence.*!ml
Escalatie van bevoegdheden Behavior:Win32/PrivilegeEscalation.*!ml
Ontwijking van verdediging Behavior:Win32/DefenseEvasion.*!ml
Toegang tot referenties Behavior:Win32/CredentialAccess.*!ml
Detectie Behavior:Win32/Discovery.*!ml
Zijbeweging Behavior:Win32/LateralMovement.*!ml
Verzameling Behavior:Win32/Collection.*!ml
Command and Control Behavior:Win32/CommandAndControl.*!ml
Exfiltratie Behavior:Win32/Exfiltration.*!ml
Impact Behavior:Win32/Impact.*!ml
Niet-gecategoriseerd Behavior:Win32/Generic.*!ml

Tip

Zie recente wereldwijde bedreigingsactiviteit voor meer informatie over specifieke bedreigingen.

Clientgedragsblokkering configureren

Als uw organisatie Defender voor Eindpunt gebruikt, is clientgedragsblokkering standaard ingeschakeld. Zorg er echter voor dat de volgende functies en mogelijkheden van Defender voor Eindpunt zijn ingeschakeld en geconfigureerd om te profiteren van alle Mogelijkheden van Defender voor eindpunten, inclusief het blokkeren en inperking van gedragingen: