Demostración de supervisión del comportamiento

Se aplica a:

• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender para Empresas
• Microsoft Defender para punto de conexión Plan 1
• Antivirus de Microsoft Defender
• Microsoft Defender para individuos

La supervisión del comportamiento en antivirus de Microsoft Defender supervisa el comportamiento de los procesos para detectar y analizar posibles amenazas en función del comportamiento de las aplicaciones, los servicios y los archivos. En lugar de basarse únicamente en la coincidencia de contenido, que identifica patrones de malware conocidos, la supervisión del comportamiento se centra en observar cómo se comporta el software en tiempo real.

Requisitos y configuración del escenario

• Esta demostración solo se ejecuta en macOS
• La protección en tiempo real de Microsoft Defender está habilitada
• La supervisión del comportamiento está habilitada

Comprobación de que la protección en tiempo real de Microsoft Defender está habilitada

Para comprobar que la protección en tiempo real (RTP) está habilitada, abra una ventana de terminal y copie y ejecute el siguiente comando:

mdatp health --field real_time_protection_enabled

Cuando RTP está habilitado, el resultado muestra un valor de 1.

Habilitación de la supervisión del comportamiento para Microsoft Defender para punto de conexión

Para obtener más información sobre cómo habilitar la supervisión del comportamiento para Defender para punto de conexión, consulte Instrucciones de implementación.

Demostración del funcionamiento de la supervisión del comportamiento

Para demostrar cómo la supervisión del comportamiento bloquea una carga:

1. Cree un script de Bash mediante un editor de script o texto, como nano o Visual Studio Code (VS Code):

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Guardar como BM_test.sh

3. Ejecute el siguiente comando para que el script de Bash sea ejecutable:

   sudo chmod u+x BM_test.sh
   

4. Ejecute el script de Bash:

sudo bash BM_test.sh

El resultado muestra:

zsh: mató a sudo bash BM_test.sh

Defender para punto de conexión puso en cuarentena el archivo en macOS. Use el siguiente comando para enumerar todas las amenazas detectadas:

mdatp threat list

El resultado muestra:

Identificador: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Nombre: Comportamiento: MacOS/MacOSChangeFileTest

Tipo: "comportamiento"

Hora de detección: martes 7 de mayo de 20:23:41 2024

Estado: "en cuarentena"

Si tiene Microsoft Defender para punto de conexión P2/P1 o Microsoft Defender para empresas, vaya al portal XDR de Microsoft Defender y verá una alerta denominada: "Se bloqueó el comportamiento sospechoso de 'MacOSChangeFileTest'".