Démonstration de l’analyse du comportement

S’applique à :

• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender pour les PME
• Microsoft Defender pour point de terminaison Plan 1
• Antivirus Microsoft Defender
• Microsoft Defender pour les particuliers

La surveillance du comportement dans Microsoft Defender Antivirus surveille le comportement des processus pour détecter et analyser les menaces potentielles en fonction du comportement des applications, des services et des fichiers. Au lieu de s’appuyer uniquement sur la correspondance du contenu, qui identifie les modèles de programmes malveillants connus, la surveillance du comportement se concentre sur l’observation du comportement des logiciels en temps réel.

Configuration requise et configuration du scénario

• Windows 11, Windows 10, Windows 8.1, Windows 7 SP1

• Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 et Windows Server 2008 R2

• macOS

• Microsoft Defender la protection en temps réel est activée

• La surveillance du comportement est activée

Windows

Vérifier Microsoft Defender protection en temps réel est activée

Pour vérifier que la protection en temps réel est activée, ouvrez PowerShell en tant qu’administrateur, puis exécutez la commande suivante :

get-mpComputerStatus |ft RealTimeProtectionEnabled

Lorsque la protection en temps réel est activée, le résultat affiche la valeur .True

Activer la surveillance du comportement pour Microsoft Defender pour point de terminaison

Pour plus d’informations sur l’activation de l’analyse du comportement pour Defender pour point de terminaison, consultez Comment activer l’analyse du comportement.

Démonstration du fonctionnement de l’analyse du comportement dans Windows et Windows Server

Pour montrer comment la surveillance du comportement bloque une charge utile, exécutez la commande PowerShell suivante :

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

La sortie contient une erreur attendue comme suit :

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

Dans le portail Microsoft Defender, dans le Centre de notifications, vous devez voir les informations suivantes :

• Sécurité Windows
• Menace détectée
• Microsoft Defender Antivirus a détecté des menaces. Obtenez des détails.
• Faire disparaître

Si vous sélectionnez le lien, votre application Sécurité Windows s’ouvre. Sélectionnez Historique de protection.

Vous devez voir des informations qui ressemblent à la sortie suivante :

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more	Actions

Dans le portail Microsoft Defender, vous devez voir des informations telles que celles-ci :

Suspicious 'BmTestOfflineUI' behavior was blocked

Lorsque vous le sélectionnez, vous voyez l’arborescence d’alertes qui contient les informations suivantes :

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

Vérifier Microsoft Defender protection en temps réel est activée

Pour vérifier que la protection en temps réel (RTP) est activée, ouvrez une fenêtre de terminal et copiez et exécutez la commande suivante :

mdatp health --field real_time_protection_enabled

Lorsque RTP est activé, le résultat affiche la valeur 1.

Activer la surveillance du comportement pour Microsoft Defender pour point de terminaison

Pour plus d’informations sur l’activation de la surveillance du comportement pour Defender pour point de terminaison, consultez Instructions de déploiement.

Démonstration du fonctionnement de l’analyse du comportement

Pour montrer comment la surveillance du comportement bloque une charge utile :

1. Créez un script bash à l’aide d’un éditeur de script/texte tel que nano ou Visual Studio Code (VS Code) :

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Enregistrez en tant que BM_test.sh.

3. Exécutez la commande suivante pour rendre le script bash exécutable :

   sudo chmod u+x BM_test.sh
   

4. Exécutez le script bash :

   sudo bash BM_test.sh
   

   Le résultat doit ressembler à ceci

   zsh: killed sudo bash BM_test.sh

   Le fichier a été mis en quarantaine par Defender pour point de terminaison sur macOS. Utilisez la commande suivante pour répertorier toutes les menaces détectées :

   mdatp threat list
   

   Le résultat affiche des informations telles que celles-ci :

   ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   
   Name: Behavior: MacOS/MacOSChangeFileTest
   
   Type: "behavior"
   
   Detection time: Tue May 7 20:23:41 2024
   
   Status: "quarantined"
   

Si vous avez Microsoft Defender pour point de terminaison P2/P1 ou Microsoft Defender pour entreprises, accédez au portail Microsoft Defender et vous voyez une alerte intitulée « MacOSChangeFileTest » suspect bloqué.