平台
- Windows
概觀
用戶端行為封鎖是適用於端點的 Defender 中 行為封鎖和包含功能的 元件。 當在裝置 (也稱為用戶端或端點) 上偵測到可疑行為時,會自動封鎖、檢查和修復) 檔案或應用程式等成品 (。
防毒保護與雲端保護搭配使用時效果最佳。
用戶端行為封鎖的運作方式
Microsoft Defender 防病毒軟體可以偵測裝置上的可疑行為、惡意程式碼、無檔案和記憶體內攻擊等等。 偵測到可疑行為時,Microsoft Defender 防病毒軟體會監視這些可疑行為及其進程樹狀結構,並將其傳送至雲端保護服務。 機器學習會在毫秒內區分惡意應用程式和良好行為,並對每個成品進行分類。 幾乎實時地,一旦發現成品是惡意的,它就會在設備上被阻止。
每當偵測到可疑行為時,都會產生警示,並在偵測到並停止攻擊時可見;警示,例如「初始存取警示」,會觸發並出現在 Microsoft Defender 入口網站中。
用戶端行為封鎖很有效,因為它不僅有助於防止攻擊啟動,還可以幫助阻止已開始執行的攻擊。 而且,透過 意見反應迴圈封鎖 (行為封鎖和遏制) 的另一種功能,可以防止對組織中其他裝置的攻擊。
行為型偵測
行為型偵測是根據 MITRE ATT&CK Matrix for Enterprise 命名。 命名慣例有助於識別觀察到惡意行為的攻擊階段:
| 戰術 | 偵測威脅名稱 |
|---|---|
| 初次存取 | Behavior:Win32/InitialAccess.*!ml |
| 執行 | Behavior:Win32/Execution.*!ml |
| 持續性 | Behavior:Win32/Persistence.*!ml |
| 權限提升 | Behavior:Win32/PrivilegeEscalation.*!ml |
| 防禦規避 | Behavior:Win32/DefenseEvasion.*!ml |
| 認證存取 | Behavior:Win32/CredentialAccess.*!ml |
| 探索 | Behavior:Win32/Discovery.*!ml |
| 橫向移動 | Behavior:Win32/LateralMovement.*!ml |
| 集合 | Behavior:Win32/Collection.*!ml |
| 指揮與控制 | Behavior:Win32/CommandAndControl.*!ml |
| 外流 | Behavior:Win32/Exfiltration.*!ml |
| 影響 | Behavior:Win32/Impact.*!ml |
| 未分類 | Behavior:Win32/Generic.*!ml |
提示
若要深入瞭解特定威脅,請參閱 最近的全球威脅活動。
設定用戶端行為封鎖
如果您的組織使用適用於端點的 Defender,預設會啟用用戶端行為封鎖。 不過,若要受益於所有適用於端點的 Defender 功能,包括 行為封鎖和遏制,請確定已啟用並設定適用於端點的 Defender 的下列特性和功能:
- 適用於端點的 Defender 基準
- 上線至適用於端點的 Defender 的裝置
- 封鎖模式中的 EDR
- 攻擊面縮減
- 下一代保護 ( 防病毒、反惡意軟件和其他威脅防護功能)
提示
如果您在尋找其他平台適用的防毒軟體相關資訊,請參閱:
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。