Démonstration de l’analyse du comportement

S’applique à :

• Microsoft Defender pour point de terminaison Plan 2
• Microsoft Defender pour les PME
• Microsoft Defender pour point de terminaison Plan 1
• Antivirus Microsoft Defender
• Microsoft Defender pour les particuliers

La surveillance du comportement dans l’Antivirus Microsoft Defender surveille le comportement des processus pour détecter et analyser les menaces potentielles en fonction du comportement des applications, des services et des fichiers. Au lieu de s’appuyer uniquement sur la correspondance du contenu, qui identifie les modèles de programmes malveillants connus, la surveillance du comportement se concentre sur l’observation du comportement des logiciels en temps réel.

Configuration requise et configuration du scénario

• Cette démonstration s’exécute uniquement sur macOS
• La protection en temps réel de Microsoft Defender est activée
• La surveillance du comportement est activée

Vérifier que la protection en temps réel de Microsoft Defender est activée

Pour vérifier que la protection en temps réel (RTP) est activée, ouvrez une fenêtre de terminal et copiez et exécutez la commande suivante :

mdatp health --field real_time_protection_enabled

Lorsque RTP est activé, le résultat affiche la valeur 1.

Activer la surveillance du comportement pour Microsoft Defender pour point de terminaison

Pour plus d’informations sur l’activation de l’analyse du comportement pour Defender pour point de terminaison, consultez Instructions de déploiement.

Démonstration du fonctionnement de l’analyse du comportement

Pour montrer comment la surveillance du comportement bloque une charge utile :

1. Créez un script bash à l’aide d’un éditeur de script/texte tel que nano ou Visual Studio Code (VS Code) :

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Enregistrer en tant que BM_test.sh

3. Exécutez la commande suivante pour rendre le script bash exécutable :

   sudo chmod u+x BM_test.sh
   

4. Exécutez le script bash :

sudo bash BM_test.sh

Le résultat montre :

zsh : killed sudo bash BM_test.sh

Le fichier a été mis en quarantaine par Defender pour point de terminaison sur macOS. Utilisez la commande suivante pour répertorier toutes les menaces détectées :

mdatp threat list

Le résultat montre :

ID : « xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx »

Nom : Comportement : MacOS/MacOSChangeFileTest

Type : « comportement »

Heure de détection : mar 7 mai 20 :23 :41 2024

État : « mis en quarantaine »

Si vous avez Microsoft Defender pour point de terminaison P2/P1 ou Microsoft Defender for Business, accédez au portail Microsoft Defender XDR et vous verrez une alerte nommée : « Le comportement suspect 'MacOSChangeFileTest' a été bloqué ».