共用方式為

行為監視示範

  • 發行項

適用於:

Microsoft Defender 防病毒軟體中的行為監視會監視程序行為,以根據應用程式、服務和檔案的行為來偵測和分析潛在威脅。 行為監視著重於即時觀察軟體的行為,而不是只依賴識別已知惡意代碼模式的內容比對。

案例需求和設定

Windows

確認 Microsoft Defender 啟用實時保護

若要確認已啟用即時保護,請以系統管理員身分開啟 PowerShell,然後執行下列命令:

get-mpComputerStatus |ft RealTimeProtectionEnabled

啟用即時保護時,結果會顯示的 True值。

啟用 適用於端點的 Microsoft Defender 的行為監視

如需如何為適用於端點的Defender啟用行為監視的詳細資訊,請參閱 如何啟用行為監視

示範行為監視在 Windows 和 Windows Server 中的運作方式

若要示範行為監視如何封鎖承載,請執行下列 PowerShell 命令:

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

輸出包含預期的錯誤,如下所示:

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

在 Microsoft Defender 入口網站的 [控制中心] 中,您應該會看到下列資訊:

  • Windows 安全性
  • 找到的威脅
  • Microsoft Defender 防病毒軟體找到威脅。 取得詳細數據。
  • 關閉

如果您選取連結,您的 Windows 安全性 應用程式就會開啟。 選 取 [保護歷程記錄]

您應該看到類似下列輸出的資訊:

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more    Actions

Microsoft Defender 入口網站中,您應該會看到如下的資訊:

Suspicious 'BmTestOfflineUI' behavior was blocked

當您選取它時,您會看到具有下列資訊的警示樹狀結構:

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

確認 Microsoft Defender 啟用實時保護

若要確認已啟用 RTP) 的即時保護 (,請開啟終端機視窗並複製並執行下列命令:

mdatp health --field real_time_protection_enabled

啟用 RTP 時,結果會顯示值 1。

啟用 適用於端點的 Microsoft Defender 的行為監視

如需如何啟用適用於端點的Defender行為監視的詳細資訊,請參閱 行為監視的部署指示

行為監視運作方式的示範

示範行為監視如何封鎖承載:

  1. 使用文稿/文字編輯器建立 bash 腳稿,例如 nano 或 Visual Studio Code (VS Code) :

    #! /usr/bin/bash
echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
sleep 5

  2. 另存為 BM_test.sh

  3. 執行下列命令,使bash腳本成為可執行檔:

    sudo chmod u+x BM_test.sh

  4. 執行 bash 指令稿:

    sudo bash BM_test.sh

    結果看起來應該像這樣

    zsh: killed sudo bash BM_test.sh

    macOS 上適用於端點的 Defender 會隔離檔案。 使用下列命令來列出所有偵測到的威脅:

    mdatp threat list

    結果會顯示如下的資訊:

    ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Name: Behavior: MacOS/MacOSChangeFileTest

Type: "behavior"

Detection time: Tue May 7 20:23:41 2024

Status: "quarantined"

如果您已 適用於端點的 Microsoft Defender P2/P1 或 適用於企業的 Microsoft Defender,請移至 Microsoft Defender 入口網站,您會看到標題為可疑的 『MacOSChangeFileTest』 行為遭到封鎖的警示。