Leer en inglés

Compartir a través de

Supervisión del comportamiento en Microsoft Defender Antivirus

  • Artículo

Se aplica a:

La supervisión del comportamiento es una funcionalidad crítica de detección y protección de Microsoft Defender Antivirus.

Supervisa el comportamiento de los procesos para detectar y analizar posibles amenazas en función del comportamiento de las aplicaciones, los servicios y los archivos. En lugar de basarse únicamente en la detección basada en firmas (que identifica patrones de malware conocidos), la supervisión del comportamiento se centra en observar cómo se comporta el software en tiempo real. Esto es lo que implica:

  1. Real-Time detección de amenazas:

    • Observe continuamente los procesos, las actividades del sistema de archivos y las interacciones dentro del sistema.
    • Antivirus de Defender pueden identificar patrones asociados con malware u otras amenazas. Por ejemplo, busca procesos que realicen cambios inusuales en los archivos existentes, modifique o cree claves de registro de inicio automático (ASEP) y otras modificaciones en el sistema de archivos o la estructura.

  2. Enfoque dinámico:

  • A diferencia de la detección estática basada en firmas, la supervisión del comportamiento se adapta a las amenazas nuevas y en constante evolución.

  • Microsoft Defender Antivirus usa patrones predefinidos y observa cómo se comporta el software durante la ejecución. En el caso de malware que no se ajusta a ningún patrón predefinido, Microsoft Defender Antivirus usa la detección de anomalías.

  • Si un programa muestra un comportamiento sospechoso (por ejemplo, al intentar modificar archivos críticos del sistema), Microsoft Defender Antivirus puede tomar medidas para evitar daños adicionales y revertir algunas acciones de malware anteriores.

La supervisión del comportamiento mejora la capacidad de Antivirus de Defender de detectar proactivamente amenazas emergentes centrándose en acciones y comportamientos en tiempo real en lugar de depender únicamente de firmas conocidas.

Las características siguientes dependen de la supervisión del comportamiento.

Antimalware:

  • Indicadores, hash de archivo, allow/block

Protección de red:

  • Indicadores, dirección IP/DIRECCIÓN URL, permitir/bloquear
  • Filtrado de contenido web, permitir o bloquear

Nota

La supervisión del comportamiento está protegida por la protección contra alteraciones.

Para deshabilitar temporalmente la supervisión del comportamiento con el fin de quitarla de la imagen, primero quiere habilitar el modo de solución de problemas, deshabilitar la protección contra alteraciones y, a continuación, deshabilitar la supervisión del comportamiento.

Cambio de la directiva de supervisión del comportamiento

En la tabla siguiente se muestran las distintas formas de configurar la supervisión del comportamiento.

Herramienta de administración Nombre Vínculos
Administración de la configuración de seguridad Permitir la supervisión del comportamiento Este artículo
Intune Permitir la supervisión del comportamiento Configuración de directivas de Antivirus de Windows para Microsoft Defender Antivirus para Intune
CSP AllowBehaviorMonitoring CSP de directiva de Defender
Configuration Manager Asociación de inquilinos Activar la supervisión del comportamiento Configuración de directivas de Antivirus de Windows de Microsoft Defender Antivirus para dispositivos conectados a inquilinos
Directiva de grupo Activar la supervisión del comportamiento Descargar directiva de grupo hoja de cálculo de referencia de configuración para la actualización de Windows 11 2023 (23H2)
PowerShell Set-Preference -DisableBehaviorMonitoring Set-MpPreference
WMI boolean DisableBehaviorMonitoring; MSFT_MpPreference clase

Si usa Microsoft Defender para Empresas, consulte Revisión o edición de las directivas de protección de próxima generación en Microsoft Defender para Empresas.

Modificación de la configuración de supervisión del comportamiento mediante PowerShell

Use el siguiente comando para modificar la configuración de supervisión del comportamiento:

PowerShell 
Set-MpPreference -DisableBehaviorMonitoring <true | false>
  • True deshabilita la supervisión del comportamiento.
  • False habilita la supervisión del comportamiento.

Para obtener más información, vea Set-MpPreference.

Consulta del estado de supervisión del comportamiento desde PowerShell

PowerShell 
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled

Si el valor devuelto es true, la supervisión del comportamiento está habilitada.

Consulta del estado de supervisión del comportamiento mediante la búsqueda avanzada

Puede usar la búsqueda avanzada (AH) para consultar el estado de la supervisión del comportamiento.

Requiere Microsoft Defender XDR, Microsoft Defender para punto de conexión plan 2 o Microsoft Defender para Empresas.

Kusto 
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc

Solución de problemas de uso elevado de CPU

Las detecciones relacionadas con la supervisión del comportamiento comienzan por "Comportamiento".

Al investigar el uso elevado de CPU en MsMpEng.exe, puede deshabilitar temporalmente la supervisión del comportamiento para ver si los problemas continúan.

Puede usar el Analizador de rendimiento para Microsoft Defender Antivirus para buscar extensiones de \path\process, process y/o file que contribuyen al uso elevado de cpu. A continuación, puede agregar estos elementos a exclusión contextual.

Para obtener más información, consulte Analizador de rendimiento para el Antivirus de Microsoft Defender.

Si ve un uso elevado de la CPU causado por la supervisión del comportamiento, siga solucionando el problema revirtiendo cada uno de los siguientes elementos en orden. Vuelva a habilitar la supervisión del comportamiento después de revertir cada elemento para identificar dónde podría estar el problema.

  1. actualización de la plataforma
  2. actualización del motor
  3. actualización de inteligencia de seguridad.

Si sigue teniendo problemas elevados de uso de CPU, póngase en contacto con el soporte técnico de Microsoft y tenga los datos de Client Analyzer listos.

Si la supervisión del comportamiento no provoca el problema, use el Analizador de rendimiento para Microsoft Defender Antivirus para recopilar información de registro. Recopile dos registros diferentes mediante a -c y a -a. Tenga esta información lista cuando se ponga en contacto con el soporte técnico de Microsoft.

Para obtener más información, vea Recopilación de datos para la solución de problemas avanzada en Windows.