Beteendeblockering av klientdator
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Översikt
Klientbeteendeblockering är en komponent i funktioner för beteendeblockering och inneslutning i Defender för Slutpunkt. När misstänkta beteenden identifieras på enheter (kallas även klienter eller slutpunkter) blockeras, kontrolleras och åtgärdas artefakter (till exempel filer eller program) automatiskt.
Antivirusskyddet fungerar bäst när det paras ihop med molnskydd.
Så här fungerar klientbeteendeblockering
Microsoft Defender Antivirus kan identifiera misstänkt beteende, skadlig kod, fillös och minnesintrång och mycket mer på en enhet. När misstänkta beteenden identifieras Microsoft Defender Antivirus och skickar de misstänkta beteendena och deras processträd till molnskyddstjänsten. Maskininlärning skiljer mellan skadliga program och bra beteenden inom millisekunder och klassificerar varje artefakt. I nästan realtid blockeras en artefakt på enheten när den visar sig vara skadlig.
När ett misstänkt beteende identifieras genereras en avisering och visas i Microsoft 365 Defender -portalen (tidigare Microsoft 365 Defender).
Klientbeteendeblockering är effektivt eftersom det inte bara hjälper till att förhindra att en attack startar, den kan också stoppa en attack som har börjat köras. Och med blockering av feedbackslingan (en annan funktion för blockering och inneslutning) förhindras attacker på andra enheter i organisationen.
Funktionsbaserade identifieringar
Beteendebaserade identifieringar namnges enligt MITRE ATT-&CK-matrisen för företag. Namngivningskonventionen hjälper till att identifiera attackfasen där det skadliga beteendet har observerats:
| Taktik | Namn på identifiering av hot |
|---|---|
| Inledande åtkomst | Behavior:Win32/InitialAccess.*!ml |
| Utförande | Behavior:Win32/Execution.*!ml |
| Ihärdighet | Behavior:Win32/Persistence.*!ml |
| Privilegieeskalering | Behavior:Win32/PrivilegeEscalation.*!ml |
| Skyddande undanmanöver | Behavior:Win32/DefenseEvasion.*!ml |
| Åtkomst till autentiseringsuppgifter | Behavior:Win32/CredentialAccess.*!ml |
| Identifiering | Behavior:Win32/Discovery.*!ml |
| Lateral rörelse | Behavior:Win32/LateralMovement.*!ml |
| Samling | Behavior:Win32/Collection.*!ml |
| Kommando och kontroll | Behavior:Win32/CommandAndControl.*!ml |
| Exfiltrering | Behavior:Win32/Exfiltration.*!ml |
| Påverkan | Behavior:Win32/Impact.*!ml |
| Ej kategoriserat | Behavior:Win32/Generic.*!ml |
Tips
Mer information om specifika hot finns i den senaste globala hotaktiviteten.
Konfigurera klientbeteendeblockering
Om din organisation använder Defender för Slutpunkt är klientbeteendeblockering aktiverat som standard. Om du däremot vill dra nytta av alla Defender för Slutpunkt-funktioner, inklusive blockering och inneslutning, ska du se till att följande funktioner i Defender för slutpunkt är aktiverade och konfigurerade:
- Defender för slutpunktsbaslinjer
- Enheter som finns i Defender för Slutpunkt
- EDR i blockläge
- Minskning av attackytan
- Nästa generations skydd (antivirus, program mot skadlig programvara och andra skyddsfunktioner för hot)