Compartilhar via


Bloqueio comportamental do cliente

Aplica-se a:

Plataforma

  • Windows

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Visão Geral

O bloqueio comportamental do cliente é um componente das capacidades de bloqueio e contenção comportamentais no Defender para Endpoint. Uma vez que são detetados comportamentos suspeitos em dispositivos (também conhecidos como clientes ou pontos finais), os artefactos (como ficheiros ou aplicações) são bloqueados, verificados e remediados automaticamente.

Proteção da cloud e do cliente

A proteção antivírus funciona melhor quando emparelhada com a proteção da cloud.

Como funciona o bloqueio comportamental do cliente

Microsoft Defender o Antivírus pode detetar comportamentos suspeitos, código malicioso, ataques sem ficheiros e dentro da memória e muito mais num dispositivo. Quando são detetados comportamentos suspeitos, Microsoft Defender Antivírus monitoriza e envia esses comportamentos suspeitos e as respetivas árvores de processamento para o serviço de proteção da cloud. A aprendizagem automática diferencia entre aplicações maliciosas e bons comportamentos em milissegundos e classifica cada artefacto. Em tempo quase real, assim que se detetar que um artefacto é malicioso, é bloqueado no dispositivo.

Sempre que é detetado um comportamento suspeito, é gerado um alerta e é visível enquanto o ataque foi detetado e parado; os alertas, como um "alerta de acesso inicial", são acionados e apresentados no portal do Microsoft Defender.

O bloqueio comportamental do cliente é eficaz porque não só ajuda a impedir o início de um ataque, como pode ajudar a parar um ataque que começou a ser executado. Além disso, com o bloqueio do ciclo de feedback (outra capacidade de bloqueio comportamental e contenção), os ataques são evitados noutros dispositivos da sua organização.

Deteções baseadas no comportamento

As deteções baseadas no comportamento são nomeadas de acordo com a MITRE ATT&Matriz CK para Enterprise. A convenção de nomenclatura ajuda a identificar a fase de ataque onde o comportamento malicioso foi observado:

Tática Nome da ameaça de deteção
Acesso inicial Behavior:Win32/InitialAccess.*!ml
Execução Behavior:Win32/Execution.*!ml
Persistência Behavior:Win32/Persistence.*!ml
Elevação de Privilégio Behavior:Win32/PrivilegeEscalation.*!ml
Evasão de defesa Behavior:Win32/DefenseEvasion.*!ml
Acesso à credencial Behavior:Win32/CredentialAccess.*!ml
Descoberta Behavior:Win32/Discovery.*!ml
Movimento Lateral Behavior:Win32/LateralMovement.*!ml
Coleção Behavior:Win32/Collection.*!ml
Comando e Controlo Behavior:Win32/CommandAndControl.*!ml
Exfiltração Behavior:Win32/Exfiltration.*!ml
Impacto Behavior:Win32/Impact.*!ml
Não categorizado Behavior:Win32/Generic.*!ml

Dica

Para saber mais sobre ameaças específicas, veja atividade de ameaças global recente.

Configurar o bloqueio comportamental do cliente

Se a sua organização estiver a utilizar o Defender para Endpoint, o bloqueio comportamental do cliente está ativado por predefinição. No entanto, para beneficiar de todas as capacidades do Defender para Endpoint, incluindo o bloqueio comportamental e a contenção, certifique-se de que as seguintes funcionalidades e capacidades do Defender para Endpoint estão ativadas e configuradas:

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.