Beteendeövervakning i Microsoft Defender Antivirus
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender för företag
- Microsoft Defender för enskilda användare
- Microsoft Defender Antivirus
Beteendeövervakning är en viktig identifierings- och skyddsfunktion i Microsoft Defender Antivirus.
Övervakar processbeteendet för att identifiera och analysera potentiella hot baserat på beteendet för program, tjänster och filer. I stället för att enbart förlita sig på signaturbaserad identifiering (som identifierar kända mönster för skadlig kod) fokuserar beteendeövervakningen på att observera hur programvara beter sig i realtid. Det här är vad det innebär:
Real-Time hotidentifiering:
- Observera kontinuerligt processer, filsystemaktiviteter och interaktioner i systemet.
- Defender Antivirus kan identifiera mönster som är associerade med skadlig kod eller andra hot. Den söker till exempel efter processer som gör ovanliga ändringar i befintliga filer, ändrar eller skapar ASEP-nycklar (Automatic Startup Registry) och andra ändringar i filsystemet eller strukturen.
Dynamisk metod:
Till skillnad från statisk, signaturbaserad identifiering anpassas beteendeövervakningen till nya och växande hot.
Microsoft Defender Antivirus använder fördefinierade mönster och observerar hur programvara beter sig under körningen. För skadlig kod som inte passar något fördefinierat mönster använder Microsoft Defender Antivirus avvikelseidentifiering.
Om ett program visar misstänkt beteende (till exempel försök att ändra kritiska systemfiler) kan Microsoft Defender Antivirus vidta åtgärder för att förhindra ytterligare skada och återställa vissa tidigare åtgärder för skadlig kod.
Beteendeövervakning förbättrar Defender Antiviruss förmåga att proaktivt identifiera nya hot genom att fokusera på åtgärder och beteenden i realtid i stället för att enbart förlita sig på kända signaturer.
Följande funktioner beror på beteendeövervakning.
Skydd mot skadlig kod:
- Indikatorer, filhash, tillåt/blockera
Nätverksskydd:
- Indikatorer, IP-adress/URL, tillåt/blockera
- Webbinnehållsfiltrering, tillåt/blockera
Obs!
Beteendeövervakning skyddas av manipuleringsskydd.
Om du tillfälligt vill inaktivera beteendeövervakning för att ta bort den från bilden vill du först aktivera felsökningsläge, inaktivera Manipulationsskydd och sedan inaktivera beteendeövervakning.
Ändra beteendeövervakningsprincipen
I följande tabell visas de olika sätten att konfigurera beteendeövervakning.
| Hanteringsverktyg | Namn | Länkar |
|---|---|---|
| Hantering av säkerhetsinställningar | Tillåt beteendeövervakning | Den här artikeln |
| Intune | Tillåt beteendeövervakning | Principinställningar för Windows Antivirus för Microsoft Defender Antivirus för Intune |
| CSP | AllowBehaviorMonitoring | Defender Policy CSP |
| Configuration Manager klientkoppling | Aktivera beteendeövervakning | Principinställningar för Windows Antivirus från Microsoft Defender Antivirus för klientanslutna enheter |
| Grupprincip | Aktivera beteendeövervakning | Ladda ned referenskalkylet för grupprincip inställningar för Windows 11 2023 Update (23H2) |
| PowerShell | Set-Preference -DisableBehaviorMonitoring | Set-MpPreference |
| WMI | boolean DisableBehaviorMonitoring; | MSFT_MpPreference klass |
Om du använder Microsoft Defender för företag kan du läsa Granska eller redigera nästa generations skyddsprinciper i Microsoft Defender för företag.
Ändra beteendeövervakningsinställningarna med hjälp av PowerShell
Använd följande kommando för att ändra beteendeövervakningsinställningarna:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
Trueinaktiverar beteendeövervakning.Falseaktiverar beteendeövervakning.
Mer information finns i Set-MpPreference.
Fråga beteendeövervakningsstatusen från PowerShell
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
Om värdet som returneras är trueär beteendeövervakning aktiverat.
Fråga beteendeövervakningsstatusen med hjälp av Avancerad jakt
Du kan använda Avancerad jakt (AH) för att fråga status för beteendeövervakning.
Kräver Microsoft Defender XDR, Microsoft Defender för Endpoint plan 2 eller Microsoft Defender för företag.
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
Felsöka hög CPU-användning
Identifieringar som rör beteendeövervakning börjar med "Beteende".
När du undersöker hög CPU-användning i MsMpEng.exekan du tillfälligt inaktivera beteendeövervakning för att se om problemen kvarstår.
Du kan använda Prestandaanalys för Microsoft Defender Antivirus för att hitta filnamnstilläggen\path\process, process och/eller som bidrar till den höga processoranvändningen. Du kan sedan lägga till dessa objekt i Kontextuellt undantag.
Mer information finns i Prestandaanalys för Microsoft Defender Antivirus.
Om du ser hög CPU-användning som orsakas av beteendeövervakning fortsätter du att felsöka problemet genom att återställa var och en av följande objekt i ordning. Återaktivera beteendeövervakning efter återställning av varje objekt för att identifiera var problemet kan finnas.
- plattformsuppdatering
- motoruppdatering
- säkerhetsinformationsuppdatering.
Om du fortfarande stöter på problem med hög CPU-användning kontaktar du Microsofts support och har dina Client Analyzer-data redo.
Om beteendeövervakning inte orsakar problemet använder du Prestandaanalys för Microsoft Defender Antivirus för att samla in logginformation. Samla in två olika loggar med och a -ca -a. Ha den här informationen redo när du kontaktar Microsofts support.
Mer information finns i Datainsamling för avancerad felsökning i Windows.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för