Beteendeblockering av klientdator

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Översikt

Klientbeteendeblockering är en komponent i funktioner för beteendeblockering och inneslutning i Defender för Slutpunkt. När misstänkta beteenden identifieras på enheter (kallas även klienter eller slutpunkter) blockeras, kontrolleras och åtgärdas artefakter (till exempel filer eller program) automatiskt.

Moln- och klientskydd.

Antivirusskyddet fungerar bäst när det paras ihop med molnskydd.

Så här fungerar klientbeteendeblockering

Microsoft Defender Antivirus kan identifiera misstänkt beteende, skadlig kod, fillös och minnesintrång och mycket mer på en enhet. När misstänkta beteenden identifieras Microsoft Defender Antivirus och skickar de misstänkta beteendena och deras processträd till molnskyddstjänsten. Maskininlärning skiljer mellan skadliga program och bra beteenden inom millisekunder och klassificerar varje artefakt. I nästan realtid blockeras en artefakt på enheten när den visar sig vara skadlig.

När ett misstänkt beteende identifieras genereras en avisering och visas i Microsoft 365 Defender -portalen (tidigare Microsoft 365 Defender).

Klientbeteendeblockering är effektivt eftersom det inte bara hjälper till att förhindra att en attack startar, den kan också stoppa en attack som har börjat köras. Och med blockering av feedbackslingan (en annan funktion för blockering och inneslutning) förhindras attacker på andra enheter i organisationen.

Funktionsbaserade identifieringar

Beteendebaserade identifieringar namnges enligt MITRE ATT-&CK-matrisen för företag. Namngivningskonventionen hjälper till att identifiera attackfasen där det skadliga beteendet har observerats:

Taktik Namn på identifiering av hot
Inledande åtkomst Behavior:Win32/InitialAccess.*!ml
Utförande Behavior:Win32/Execution.*!ml
Ihärdighet Behavior:Win32/Persistence.*!ml
Privilegieeskalering Behavior:Win32/PrivilegeEscalation.*!ml
Skyddande undanmanöver Behavior:Win32/DefenseEvasion.*!ml
Åtkomst till autentiseringsuppgifter Behavior:Win32/CredentialAccess.*!ml
Identifiering Behavior:Win32/Discovery.*!ml
Lateral rörelse Behavior:Win32/LateralMovement.*!ml
Samling Behavior:Win32/Collection.*!ml
Kommando och kontroll Behavior:Win32/CommandAndControl.*!ml
Exfiltrering Behavior:Win32/Exfiltration.*!ml
Påverkan Behavior:Win32/Impact.*!ml
Ej kategoriserat Behavior:Win32/Generic.*!ml

Tips

Mer information om specifika hot finns i den senaste globala hotaktiviteten.

Konfigurera klientbeteendeblockering

Om din organisation använder Defender för Slutpunkt är klientbeteendeblockering aktiverat som standard. Om du däremot vill dra nytta av alla Defender för Slutpunkt-funktioner, inklusive blockering och inneslutning, ska du se till att följande funktioner i Defender för slutpunkt är aktiverade och konfigurerade: