Partilhar via


Demonstração de Monitorização de Comportamento

Aplica-se a:

A monitorização de comportamento no Antivírus do Microsoft Defender monitoriza o comportamento do processo para detetar e analisar potenciais ameaças com base no comportamento de aplicações, serviços e ficheiros. Em vez de depender apenas da correspondência de conteúdos, que identifica padrões de software maligno conhecidos, a monitorização do comportamento centra-se em observar o comportamento do software em tempo real.

Requisitos de cenário e configuração

Windows

Verificar Microsoft Defender proteção em tempo real está ativada

Para verificar se a proteção em tempo real está ativada, abra o PowerShell como administrador e, em seguida, execute o seguinte comando:

get-mpComputerStatus |ft RealTimeProtectionEnabled

Quando a proteção em tempo real está ativada, o resultado mostra um valor de True.

Ativar a Monitorização de Comportamento para Microsoft Defender para Endpoint

Para obter mais informações sobre como ativar a Monitorização de Comportamento do Defender para Endpoint, veja como ativar a Monitorização de Comportamento.

Demonstração de como funciona a Monitorização de Comportamento no Windows e no Windows Server

Para demonstrar como a Monitorização de Comportamento bloqueia um payload, execute o seguinte comando do PowerShell:

powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"

O resultado contém um erro esperado da seguinte forma:

hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program.  Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo             : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException

No portal Microsoft Defender, no Centro de ação, deverá ver as seguintes informações:

  • Segurança do Windows
  • Ameaças encontradas
  • Microsoft Defender Antivírus encontrou ameaças. Obtenha detalhes.
  • Dispensar

Se selecionar a ligação, a sua aplicação Segurança do Windows é aberta. Selecione Histórico de proteção.

Deverá ver informações semelhantes à seguinte saída:

Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more	Actions

No portal Microsoft Defender, deverá ver informações como esta:

Suspicious 'BmTestOfflineUI' behavior was blocked

Ao selecioná-la, verá a árvore de alertas que tem as seguintes informações:

Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring

macOS

Verifique Microsoft Defender a proteção em tempo real está ativada

Para verificar se a proteção em tempo real (RTP) está ativada, abra uma janela do terminal e copie e execute o seguinte comando:

mdatp health --field real_time_protection_enabled

Quando o RTP está ativado, o resultado mostra um valor de 1.

Ativar a Monitorização de Comportamento para Microsoft Defender para Endpoint

Para obter mais informações sobre como ativar a monitorização de comportamento do Defender para Endpoint, veja Instruções de implementação.

Demonstração de como funciona a Monitorização de Comportamento

Para demonstrar como a Monitorização de Comportamento bloqueia um payload:

  1. Crie um script bash com um editor de script/texto, como o nano ou o Visual Studio Code (VS Code):

    #! /usr/bin/bash
    echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
    echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
    sleep 5
    
  2. Guardar como BM_test.sh.

  3. Execute o seguinte comando para tornar o script bash executável:

    sudo chmod u+x BM_test.sh
    
  4. Execute o script de bash:

    sudo bash BM_test.sh
    

    O resultado deve ter o seguinte aspeto

    zsh: killed sudo bash BM_test.sh

    O ficheiro foi colocado em quarentena pelo Defender para Endpoint no macOS. Utilize o seguinte comando para listar todas as ameaças detetadas:

    mdatp threat list
    

    O resultado mostra informações como esta:

    ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
    
    Name: Behavior: MacOS/MacOSChangeFileTest
    
    Type: "behavior"
    
    Detection time: Tue May 7 20:23:41 2024
    
    Status: "quarantined"
    

Se tiver Microsoft Defender para Endpoint P2/P1 ou Microsoft Defender para Empresas, aceda ao portal do Microsoft Defender e verá um alerta intitulado Comportamento suspeito de "MacOSChangeFileTest" bloqueado.