Démonstration de l’analyse du comportement
S’applique à :
- Microsoft Defender pour point de terminaison Plan 2
- Microsoft Defender pour les PME
- Microsoft Defender pour point de terminaison Plan 1
- Antivirus Microsoft Defender
- Microsoft Defender pour les particuliers
La surveillance du comportement dans l’Antivirus Microsoft Defender surveille le comportement des processus pour détecter et analyser les menaces potentielles en fonction du comportement des applications, des services et des fichiers. Au lieu de s’appuyer uniquement sur la correspondance du contenu, qui identifie les modèles de programmes malveillants connus, la surveillance du comportement se concentre sur l’observation du comportement des logiciels en temps réel.
Configuration requise et configuration du scénario
- Cette démonstration s’exécute uniquement sur macOS
- La protection en temps réel de Microsoft Defender est activée
- La surveillance du comportement est activée
Vérifier que la protection en temps réel de Microsoft Defender est activée
Pour vérifier que la protection en temps réel (RTP) est activée, ouvrez une fenêtre de terminal et copiez et exécutez la commande suivante :
mdatp health --field real_time_protection_enabled
Lorsque RTP est activé, le résultat affiche la valeur 1.
Activer la surveillance du comportement pour Microsoft Defender pour point de terminaison
Pour plus d’informations sur l’activation de l’analyse du comportement pour Defender pour point de terminaison, consultez Instructions de déploiement.
Démonstration du fonctionnement de l’analyse du comportement
Pour montrer comment la surveillance du comportement bloque une charge utile :
Créez un script bash à l’aide d’un éditeur de script/texte tel que nano ou Visual Studio Code (VS Code) :
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5Enregistrer en tant que BM_test.sh
Exécutez la commande suivante pour rendre le script bash exécutable :
sudo chmod u+x BM_test.shExécutez le script bash :
sudo bash BM_test.sh
Le résultat montre :
zsh : killed sudo bash BM_test.sh
Le fichier a été mis en quarantaine par Defender pour point de terminaison sur macOS. Utilisez la commande suivante pour répertorier toutes les menaces détectées :
mdatp threat list
Le résultat montre :
ID : « xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx »
Nom : Comportement : MacOS/MacOSChangeFileTest
Type : « comportement »
Heure de détection : mar 7 mai 20 :23 :41 2024
État : « mis en quarantaine »
Si vous avez Microsoft Defender pour point de terminaison P2/P1 ou Microsoft Defender for Business, accédez au portail Microsoft Defender XDR et vous verrez une alerte nommée : « Le comportement suspect 'MacOSChangeFileTest' a été bloqué ».