Demostración de supervisión del comportamiento
Se aplica a:
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender para Empresas
- Microsoft Defender para punto de conexión Plan 1
- Antivirus de Microsoft Defender
- Microsoft Defender para individuos
La supervisión del comportamiento en Microsoft Defender Antivirus supervisa el comportamiento de los procesos para detectar y analizar posibles amenazas en función del comportamiento de las aplicaciones, los servicios y los archivos. En lugar de basarse únicamente en la coincidencia de contenido, que identifica patrones de malware conocidos, la supervisión del comportamiento se centra en observar cómo se comporta el software en tiempo real.
Requisitos y configuración del escenario
Windows 11, Windows 10, Windows 8.1, Windows 7 SP1
Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 y Windows Server 2008 R2
macOS
Microsoft Defender protección en tiempo real está habilitada
Windows
Comprobar Microsoft Defender protección en tiempo real está habilitada
Para comprobar que la protección en tiempo real está habilitada, abra PowerShell como administrador y, a continuación, ejecute el siguiente comando:
get-mpComputerStatus |ft RealTimeProtectionEnabled
Cuando se habilita la protección en tiempo real, el resultado muestra un valor de True.
Habilitación de la supervisión del comportamiento para Microsoft Defender para punto de conexión
Para obtener más información sobre cómo habilitar la supervisión del comportamiento para Defender para punto de conexión, consulte cómo habilitar la supervisión del comportamiento.
Demostración del funcionamiento de la supervisión del comportamiento en Windows y Windows Server
Para mostrar cómo la supervisión del comportamiento bloquea una carga, ejecute el siguiente comando de PowerShell:
powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"
La salida contiene un error esperado como se indica a continuación:
hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException
En el portal de Microsoft Defender, en el Centro de acciones, debería ver la siguiente información:
- Seguridad de Windows
- Se encontraron amenazas
- Microsoft Defender Antivirus encontró amenazas. Obtener detalles.
- Descartar
Si selecciona el vínculo, se abrirá la aplicación de Seguridad de Windows. Seleccione Historial de protección.
Debería ver información similar a la siguiente salida:
Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more Actions
En el portal de Microsoft Defender, debería ver información similar a la siguiente:
Suspicious 'BmTestOfflineUI' behavior was blocked
Al seleccionarlo, verá el árbol de alertas que tiene la siguiente información:
Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring
macOS
Comprobar Microsoft Defender protección en tiempo real está habilitada
Para comprobar que la protección en tiempo real (RTP) está habilitada, abra una ventana de terminal y copie y ejecute el siguiente comando:
mdatp health --field real_time_protection_enabled
Cuando RTP está habilitado, el resultado muestra un valor de 1.
Habilitación de la supervisión del comportamiento para Microsoft Defender para punto de conexión
Para obtener más información sobre cómo habilitar la supervisión de comportamientos para Defender para punto de conexión, consulte Instrucciones de implementación para la supervisión del comportamiento.
Demostración del funcionamiento de la supervisión del comportamiento
Para demostrar cómo la supervisión del comportamiento bloquea una carga:
Cree un script de Bash mediante un editor de script o texto, como nano o Visual Studio Code (VS Code):
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5Guarde como
BM_test.sh.Ejecute el siguiente comando para que el script de Bash sea ejecutable:
sudo chmod u+x BM_test.shEjecute el script de Bash:
sudo bash BM_test.shEl resultado debe tener este aspecto.
zsh: killed sudo bash BM_test.shDefender para punto de conexión pone en cuarentena el archivo en macOS. Use el siguiente comando para enumerar todas las amenazas detectadas:
mdatp threat listEl resultado muestra información como esta:
ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" Name: Behavior: MacOS/MacOSChangeFileTest Type: "behavior" Detection time: Tue May 7 20:23:41 2024 Status: "quarantined"
Si tiene Microsoft Defender para punto de conexión P2/P1 o Microsoft Defender para Empresas, vaya al portal de Microsoft Defender y verá una alerta titulada " Se bloqueó el comportamiento sospechoso de "MacOSChangeFileTest".