Demonstração de Monitorização de Comportamento
Aplica-se a:
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Empresas
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender Antivírus
- Microsoft Defender para Indivíduos
A monitorização de comportamento no Antivírus do Microsoft Defender monitoriza o comportamento do processo para detetar e analisar potenciais ameaças com base no comportamento de aplicações, serviços e ficheiros. Em vez de depender apenas da correspondência de conteúdos, que identifica padrões de software maligno conhecidos, a monitorização do comportamento centra-se em observar o comportamento do software em tempo real.
Requisitos de cenário e configuração
Os dispositivos cliente têm de estar a executar Windows 11, Windows 10, Windows 8.1, Windows 7 SP1 ou macOS
Os dispositivos de servidor têm de estar a executar Windows Server 2025, Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2008 R2
Windows
Verificar Microsoft Defender proteção em tempo real está ativada
Para verificar se a proteção em tempo real está ativada, abra o PowerShell como administrador e, em seguida, execute o seguinte comando:
get-mpComputerStatus |ft RealTimeProtectionEnabled
Quando a proteção em tempo real está ativada, o resultado mostra um valor de True.
Ativar a Monitorização de Comportamento para Microsoft Defender para Ponto de Extremidade
Para obter mais informações sobre como ativar a Monitorização de Comportamento do Defender para Endpoint, veja como ativar a Monitorização de Comportamento.
Demonstração de como funciona a Monitorização de Comportamento no Windows e no Windows Server
Para demonstrar como a Monitorização de Comportamento bloqueia um payload, execute o seguinte comando do PowerShell:
powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"
O resultado contém um erro esperado da seguinte forma:
hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException
No portal Microsoft Defender, no Centro de ação, deverá ver as seguintes informações:
- Segurança do Windows
- Ameaça encontrada
- Microsoft Defender Antivírus encontrou ameaças. Obtenha detalhes.
- Ignorar
Se selecionar a ligação, a sua aplicação Segurança do Windows é aberta. Selecione Histórico de proteção.
Deverá ver informações semelhantes à seguinte saída:
Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more Actions
No portal Microsoft Defender, deverá ver informações como esta:
Suspicious 'BmTestOfflineUI' behavior was blocked
Ao selecioná-la, verá a árvore de alertas que tem as seguintes informações:
Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring
macOS
Verifique Microsoft Defender a proteção em tempo real está ativada
Para verificar se a proteção em tempo real (RTP) está ativada, abra uma janela do terminal e copie e execute o seguinte comando:
mdatp health --field real_time_protection_enabled
Quando o RTP está ativado, o resultado mostra um valor de 1.
Ativar a Monitorização de Comportamento para Microsoft Defender para Ponto de Extremidade
Para obter mais informações sobre como ativar a monitorização de comportamento do Defender para Endpoint, veja Instruções de implementação para monitorização de comportamento.
Demonstração de como funciona a Monitorização de Comportamento
Para demonstrar como a Monitorização de Comportamento bloqueia um payload:
Crie um script bash com um editor de script/texto, como nano ou Visual Studio Code (VS Code):
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5Guardar como
BM_test.sh.Execute o seguinte comando para tornar o script bash executável:
sudo chmod u+x BM_test.shExecute o script de bash:
sudo bash BM_test.shO resultado deve ter o seguinte aspeto
zsh: killed sudo bash BM_test.shO ficheiro é colocado em quarentena pelo Defender para Endpoint no macOS. Utilize o seguinte comando para listar todas as ameaças detetadas:
mdatp threat listO resultado mostra informações como esta:
ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" Name: Behavior: MacOS/MacOSChangeFileTest Type: "behavior" Detection time: Tue May 7 20:23:41 2024 Status: "quarantined"
Se tiver Microsoft Defender para Ponto de Extremidade P2/P1 ou Microsoft Defender para Empresas, aceda ao portal do Microsoft Defender e verá um alerta intitulado Comportamento suspeito de "MacOSChangeFileTest" bloqueado.