Demostración de supervisión del comportamiento
Se aplica a:
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender para Empresas
- Microsoft Defender para punto de conexión Plan 1
- Antivirus de Microsoft Defender
- Microsoft Defender para individuos
La supervisión del comportamiento en antivirus de Microsoft Defender supervisa el comportamiento de los procesos para detectar y analizar posibles amenazas en función del comportamiento de las aplicaciones, los servicios y los archivos. En lugar de basarse únicamente en la coincidencia de contenido, que identifica patrones de malware conocidos, la supervisión del comportamiento se centra en observar cómo se comporta el software en tiempo real.
Requisitos y configuración del escenario
- Esta demostración solo se ejecuta en macOS
- La protección en tiempo real de Microsoft Defender está habilitada
- La supervisión del comportamiento está habilitada
Comprobación de que la protección en tiempo real de Microsoft Defender está habilitada
Para comprobar que la protección en tiempo real (RTP) está habilitada, abra una ventana de terminal y copie y ejecute el siguiente comando:
mdatp health --field real_time_protection_enabled
Cuando RTP está habilitado, el resultado muestra un valor de 1.
Habilitación de la supervisión del comportamiento para Microsoft Defender para punto de conexión
Para obtener más información sobre cómo habilitar la supervisión del comportamiento para Defender para punto de conexión, consulte Instrucciones de implementación.
Demostración del funcionamiento de la supervisión del comportamiento
Para demostrar cómo la supervisión del comportamiento bloquea una carga:
Cree un script de Bash mediante un editor de script o texto, como nano o Visual Studio Code (VS Code):
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5Guardar como BM_test.sh
Ejecute el siguiente comando para que el script de Bash sea ejecutable:
sudo chmod u+x BM_test.shEjecute el script de Bash:
sudo bash BM_test.sh
El resultado muestra:
zsh: mató a sudo bash BM_test.sh
Defender para punto de conexión puso en cuarentena el archivo en macOS. Use el siguiente comando para enumerar todas las amenazas detectadas:
mdatp threat list
El resultado muestra:
Identificador: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
Nombre: Comportamiento: MacOS/MacOSChangeFileTest
Tipo: "comportamiento"
Hora de detección: martes 7 de mayo de 20:23:41 2024
Estado: "en cuarentena"
Si tiene Microsoft Defender para punto de conexión P2/P1 o Microsoft Defender para empresas, vaya al portal XDR de Microsoft Defender y verá una alerta denominada: "Se bloqueó el comportamiento sospechoso de 'MacOSChangeFileTest'".