動作監視のデモ

適用対象:

• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender for Business
• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender ウイルス対策
• 個人向けMicrosoft Defender

Microsoft Defenderウイルス対策の動作監視は、アプリケーション、サービス、ファイルの動作に基づいて潜在的な脅威を検出および分析するために、プロセスの動作を監視します。 既知のマルウェア パターンを識別するコンテンツ マッチングのみに依存するのではなく、動作監視では、ソフトウェアの動作をリアルタイムで監視することに重点を置いています。

シナリオの要件とセットアップ

• Windows 11、Windows 10、Windows 8.1、Windows 7 SP1

• Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012、Windows Server 2008 R2

• macOS

• Microsoft Defender リアルタイム保護が有効になっている

• 動作の監視が有効になっている

Windows

リアルタイム保護Microsoft Defender有効になっていることを確認する

リアルタイム保護が有効になっていることを確認するには、管理者として PowerShell を開き、次のコマンドを実行します。

get-mpComputerStatus |ft RealTimeProtectionEnabled

リアルタイム保護が有効になっている場合、結果には True の値が表示されます。

Microsoft Defender for Endpointの動作監視を有効にする

Defender for Endpoint の動作監視を有効にする方法の詳細については、「 動作監視を有効にする方法」を参照してください。

Windows とWindows Serverでの動作監視のしくみのデモ

動作監視がペイロードをブロックする方法を示すには、次の PowerShell コマンドを実行します。

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

出力には、次のような予期されるエラーが含まれています。

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

Microsoft Defender ポータルのアクション センターに、次の情報が表示されます。

• Windows セキュリティ
• 脅威を検出
• Microsoft Defenderウイルス対策で検出された脅威。 詳細を取得します。
• 無視

リンクを選択すると、Windows セキュリティ アプリが開きます。 [ 保護の履歴] を選択します。

次の出力のような情報が表示されます。

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more    Actions

Microsoft Defender ポータルには、次のような情報が表示されます。

Suspicious 'BmTestOfflineUI' behavior was blocked

選択すると、次の情報を含むアラート ツリーが表示されます。

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

リアルタイム保護Microsoft Defender有効になっていることを確認する

リアルタイム保護 (RTP) が有効になっていることを確認するには、ターミナル ウィンドウを開き、次のコマンドをコピーして実行します。

mdatp health --field real_time_protection_enabled

RTP が有効になっている場合、結果には値 1 が表示されます。

Microsoft Defender for Endpointの動作監視を有効にする

Defender for Endpoint の動作監視を有効にする方法の詳細については、「 動作監視の展開手順」を参照してください。

動作監視のしくみのデモ

動作監視がペイロードをブロックする方法を示すには:

1. nano や Visual Studio Code (VS Code) などのスクリプト/テキスト エディターを使用して bash スクリプトを作成します。

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. BM_test.shとして保存します。

3. 次のコマンドを実行して、bash スクリプトを実行可能にします。

   sudo chmod u+x BM_test.sh
   

4. bash スクリプトを実行します。

   sudo bash BM_test.sh
   

   結果は次のようになります

   zsh: killed sudo bash BM_test.sh

   ファイルは、macOS 上の Defender for Endpoint によって検疫されます。 次のコマンドを使用して、検出されたすべての脅威を一覧表示します。

   mdatp threat list
   

   結果には、次のような情報が表示されます。

   ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   
   Name: Behavior: MacOS/MacOSChangeFileTest
   
   Type: "behavior"
   
   Detection time: Tue May 7 20:23:41 2024
   
   Status: "quarantined"
   

P2/P1 またはMicrosoft Defender for Business Microsoft Defender for Endpointしている場合は、Microsoft Defender ポータルに移動すると、"疑わしい "MacOSChangeFileTest" 動作がブロックされたというアラートが表示されます。