Dimostrazione del monitoraggio del comportamento

Si applica a:

• Microsoft Defender per endpoint Piano 2
• Microsoft Defender for Business
• Microsoft Defender per endpoint Piano 1
• Antivirus Microsoft Defender
• Microsoft Defender per singoli utenti

Il monitoraggio del comportamento in Microsoft Defender Antivirus monitora il comportamento dei processi per rilevare e analizzare potenziali minacce in base al comportamento di applicazioni, servizi e file. Invece di basarsi esclusivamente sulla corrispondenza dei contenuti, che identifica i modelli di malware noti, il monitoraggio del comportamento si concentra sull'osservazione del comportamento del software in tempo reale.

Requisiti e configurazione dello scenario

• Windows 11, Windows 10, Windows 8.1, Windows 7 SP1

• Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 e Windows Server 2008 R2

• macOS

• Microsoft Defender la protezione in tempo reale è abilitata

• Monitoraggio del comportamento abilitato

Windows

Verificare Microsoft Defender la protezione in tempo reale sia abilitata

Per verificare che la protezione in tempo reale sia abilitata, aprire PowerShell come amministratore e quindi eseguire il comando seguente:

get-mpComputerStatus |ft RealTimeProtectionEnabled

Quando la protezione in tempo reale è abilitata, il risultato mostra un valore di True.

Abilitare il monitoraggio del comportamento per Microsoft Defender per endpoint

Per altre informazioni su come abilitare il monitoraggio del comportamento per Defender per endpoint, vedere come abilitare il monitoraggio del comportamento.

Dimostrazione del funzionamento del monitoraggio del comportamento in Windows e Windows Server

Per illustrare in che modo il monitoraggio del comportamento blocca un payload, eseguire il comando di PowerShell seguente:

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

L'output contiene un errore previsto come indicato di seguito:

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

Nel portale di Microsoft Defender, nel Centro notifiche, verranno visualizzate le informazioni seguenti:

• Sicurezza di Windows
• Minacce rilevate
• Microsoft Defender Antivirus ha rilevato minacce. Ottenere i dettagli.
• Licenziare

Se si seleziona il collegamento, verrà visualizzata l'app Sicurezza di Windows. Selezionare Cronologia protezione.

Dovrebbero essere visualizzate informazioni simili all'output seguente:

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more    Actions

Nel portale di Microsoft Defender verranno visualizzate informazioni simili alle seguenti:

Suspicious 'BmTestOfflineUI' behavior was blocked

Quando lo si seleziona, viene visualizzato l'albero degli avvisi con le informazioni seguenti:

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

Verificare Microsoft Defender la protezione in tempo reale sia abilitata

Per verificare che la protezione in tempo reale (RTP) sia abilitata, aprire una finestra del terminale e copiare ed eseguire il comando seguente:

mdatp health --field real_time_protection_enabled

Quando RTP è abilitato, il risultato mostra un valore pari a 1.

Abilitare il monitoraggio del comportamento per Microsoft Defender per endpoint

Per altre informazioni su come abilitare il monitoraggio del comportamento per Defender per endpoint, vedere Istruzioni di distribuzione per il monitoraggio del comportamento.

Dimostrazione del funzionamento del monitoraggio del comportamento

Per illustrare in che modo il monitoraggio del comportamento blocca un payload:

1. Creare uno script bash usando uno script/editor di testo, ad esempio nano o Visual Studio Code (VS Code):

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Salvare come BM_test.sh.

3. Eseguire il comando seguente per rendere eseguibile lo script bash:

   sudo chmod u+x BM_test.sh
   

4. Eseguire lo script bash:

   sudo bash BM_test.sh
   

   Il risultato dovrebbe essere simile al seguente

   zsh: killed sudo bash BM_test.sh

   Il file viene messo in quarantena da Defender per endpoint in macOS. Usare il comando seguente per elencare tutte le minacce rilevate:

   mdatp threat list
   

   Il risultato mostra informazioni simili alle seguenti:

   ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
   
   Name: Behavior: MacOS/MacOSChangeFileTest
   
   Type: "behavior"
   
   Detection time: Tue May 7 20:23:41 2024
   
   Status: "quarantined"
   

Se è stato Microsoft Defender per endpoint P2/P1 o Microsoft Defender for Business, passare al portale di Microsoft Defender e viene visualizzato un avviso denominato Comportamento sospetto 'MacOSChangeFileTest' bloccato.