Поделиться через


Блокировка с учетом поведения клиента

Область применения:

Платформа

  • Windows

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Обзор

Блокировка поведения клиента — это компонент возможностей блокировки поведения и сдерживания в Defender для конечной точки. При обнаружении подозрительного поведения на устройствах (также называемых клиентами или конечными точками) артефакты (например, файлы или приложения) блокируются, проверяются и исправляются автоматически.

Защита облака и клиентов

Антивирусная защита лучше всего работает в сочетании с облачной защитой.

Как работает блокировка поведения клиента

Microsoft Defender антивирусная программа может обнаруживать подозрительное поведение, вредоносный код, атаки без файлов и в памяти и многое другое на устройстве. При обнаружении подозрительного поведения антивирусная программа Microsoft Defender отслеживает и отправляет эти подозрительные действия и деревья процессов в облачную службу защиты. Машинное обучение различает вредоносные приложения и хорошее поведение в миллисекундах и классифицирует каждый артефакт. Почти в реальном времени, как только артефакт обнаруживается как вредоносный, он блокируется на устройстве.

При обнаружении подозрительного поведения создается оповещение, отображаемое при обнаружении и остановке атаки; Оповещения, такие как "начальное оповещение о доступе", активируются и отображаются на портале Microsoft Defender.

Блокировка поведения клиента эффективна, так как она не только помогает предотвратить начало атаки, но и может помочь остановить атаку, которая началась. Кроме того, при блокировке цикла обратной связи (еще одна возможность блокировки поведения и сдерживания) атаки предотвращаются на других устройствах в вашей организации.

Обнаружение на основе поведения

Обнаружения на основе поведения именуются в соответствии с mitre ATT&матрицы CK для предприятия. Соглашение об именовании помогает определить этап атаки, на котором наблюдалось вредоносное поведение:

Тактика Имя угрозы обнаружения
Исходный доступ Behavior:Win32/InitialAccess.*!ml
Выполнение Behavior:Win32/Execution.*!ml
Сохранение Behavior:Win32/Persistence.*!ml
Повышение привилегий Behavior:Win32/PrivilegeEscalation.*!ml
Обход мер защиты Behavior:Win32/DefenseEvasion.*!ml
Доступ к учетным данным Behavior:Win32/CredentialAccess.*!ml
Обнаружение Behavior:Win32/Discovery.*!ml
Боковое смещение Behavior:Win32/LateralMovement.*!ml
Сбор Behavior:Win32/Collection.*!ml
Команды и управление Behavior:Win32/CommandAndControl.*!ml
Кража данных Behavior:Win32/Exfiltration.*!ml
Влияние Behavior:Win32/Impact.*!ml
Без рубрики Behavior:Win32/Generic.*!ml

Совет

Дополнительные сведения о конкретных угрозах см. в статье Недавние действия глобальных угроз.

Настройка блокировки поведения клиента

Если ваша организация использует Defender для конечной точки, блокировка поведения клиента включена по умолчанию. Тем не менее, чтобы воспользоваться всеми возможностями Defender для конечной точки, включая поведенческую блокировку и сдерживание, убедитесь, что включены и настроены следующие функции и возможности Defender для конечной точки:

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.