Demonstração de Monitorização de Comportamento
Aplica-se a:
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender para Empresas
- API do Microsoft Defender para Endpoint 1
- Antivírus do Microsoft Defender
- Microsoft Defender para Indivíduos
A monitorização de comportamento no Antivírus do Microsoft Defender monitoriza o comportamento do processo para detetar e analisar potenciais ameaças com base no comportamento de aplicações, serviços e ficheiros. Em vez de depender apenas da correspondência de conteúdos, que identifica padrões de software maligno conhecidos, a monitorização do comportamento centra-se em observar o comportamento do software em tempo real.
Requisitos de cenário e configuração
Windows 11, Windows 10, Windows 8.1, Windows 7 SP1
Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 e Windows Server 2008 R2
macOS
Windows
Verificar Microsoft Defender proteção em tempo real está ativada
Para verificar se a proteção em tempo real está ativada, abra o PowerShell como administrador e, em seguida, execute o seguinte comando:
get-mpComputerStatus |ft RealTimeProtectionEnabled
Quando a proteção em tempo real está ativada, o resultado mostra um valor de True
.
Ativar a Monitorização de Comportamento para Microsoft Defender para Endpoint
Para obter mais informações sobre como ativar a Monitorização de Comportamento do Defender para Endpoint, veja como ativar a Monitorização de Comportamento.
Demonstração de como funciona a Monitorização de Comportamento no Windows e no Windows Server
Para demonstrar como a Monitorização de Comportamento bloqueia um payload, execute o seguinte comando do PowerShell:
powershell.exe -NoExit -Command "powershell.exe hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4"
O resultado contém um erro esperado da seguinte forma:
hidden : The term 'hidden' is not recognized as the name of a cmdlet, function, script, script file, or operable program. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.
At line:1 char:1
+hidden 12154dfe-61a5-4357-ba5a-efecc45c34c4
+""""""
CategoryInfo : ObjectNotFound: (hidden:String) [], CommandNotFoundException
FullyQualifiedErrorId : CommandNotFoundException
No portal Microsoft Defender, no Centro de ação, deverá ver as seguintes informações:
- Segurança do Windows
- Ameaças encontradas
- Microsoft Defender Antivírus encontrou ameaças. Obtenha detalhes.
- Dispensar
Se selecionar a ligação, a sua aplicação Segurança do Windows é aberta. Selecione Histórico de proteção.
Deverá ver informações semelhantes à seguinte saída:
Threat blocked
Detected: Behavior:Win32/BmTestOfflineUI
Status: Removed
A threat or app was removed from this device.
Date: 6/7/2024 11:51 AM
Details: This program is dangerous and executes command from an attacker.
Affected items:
behavior: process: C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe, pid:6132:118419370780344
process: pid:6132,ProcessStart:133621698624737241
Learn more Actions
No portal Microsoft Defender, deverá ver informações como esta:
Suspicious 'BmTestOfflineUI' behavior was blocked
Ao selecioná-la, verá a árvore de alertas que tem as seguintes informações:
Defender detected and terminated active 'Behavior:Win32/BmTestOfflineUI' in process 'powershell.exe' during behavior monitoring
macOS
Verifique Microsoft Defender a proteção em tempo real está ativada
Para verificar se a proteção em tempo real (RTP) está ativada, abra uma janela do terminal e copie e execute o seguinte comando:
mdatp health --field real_time_protection_enabled
Quando o RTP está ativado, o resultado mostra um valor de 1.
Ativar a Monitorização de Comportamento para Microsoft Defender para Endpoint
Para obter mais informações sobre como ativar a monitorização de comportamento do Defender para Endpoint, veja Instruções de implementação.
Demonstração de como funciona a Monitorização de Comportamento
Para demonstrar como a Monitorização de Comportamento bloqueia um payload:
Crie um script bash com um editor de script/texto, como o nano ou o Visual Studio Code (VS Code):
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5
Guardar como
BM_test.sh
.Execute o seguinte comando para tornar o script bash executável:
sudo chmod u+x BM_test.sh
Execute o script de bash:
sudo bash BM_test.sh
O resultado deve ter o seguinte aspeto
zsh: killed sudo bash BM_test.sh
O ficheiro foi colocado em quarentena pelo Defender para Endpoint no macOS. Utilize o seguinte comando para listar todas as ameaças detetadas:
mdatp threat list
O resultado mostra informações como esta:
ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" Name: Behavior: MacOS/MacOSChangeFileTest Type: "behavior" Detection time: Tue May 7 20:23:41 2024 Status: "quarantined"
Se tiver Microsoft Defender para Endpoint P2/P1 ou Microsoft Defender para Empresas, aceda ao portal do Microsoft Defender e verá um alerta intitulado Comportamento suspeito de "MacOSChangeFileTest" bloqueado.