Dimostrazione del monitoraggio del comportamento
Si applica a:
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender for Business
- Microsoft Defender per endpoint Piano 1
- Antivirus Microsoft Defender
- Microsoft Defender per utenti singoli
Monitoraggio del comportamento in Microsoft Defender Antivirus monitora il comportamento dei processi per rilevare e analizzare potenziali minacce in base al comportamento di applicazioni, servizi e file. Invece di basarsi esclusivamente sulla corrispondenza dei contenuti, che identifica i modelli di malware noti, il monitoraggio del comportamento si concentra sull'osservazione del comportamento del software in tempo reale.
Requisiti e configurazione dello scenario
- Questa dimostrazione viene eseguita solo in macOS
- La protezione in tempo reale di Microsoft Defender è abilitata
- Monitoraggio del comportamento abilitato
Verificare che la protezione in tempo reale di Microsoft Defender sia abilitata
Per verificare che la protezione in tempo reale (RTP) sia abilitata, aprire una finestra del terminale e copiare ed eseguire il comando seguente:
mdatp health --field real_time_protection_enabled
Quando RTP è abilitato, il risultato mostra un valore pari a 1.
Abilitare il monitoraggio del comportamento per Microsoft Defender per endpoint
Per altre informazioni su come abilitare il monitoraggio del comportamento per Defender per endpoint, vedere Istruzioni per la distribuzione.
Dimostrazione del funzionamento del monitoraggio del comportamento
Per illustrare in che modo il monitoraggio del comportamento blocca un payload:
Creare uno script bash usando uno script/editor di testo, ad esempio nano o Visual Studio Code (VS Code):
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5
Salva come BM_test.sh
Eseguire il comando seguente per rendere eseguibile lo script bash:
sudo chmod u+x BM_test.sh
Eseguire lo script bash:
sudo bash BM_test.sh
Il risultato mostra:
zsh: ucciso sudo bash BM_test.sh
Il file è stato messo in quarantena da Defender per Endpoint in macOS. Usare il comando seguente per elencare tutte le minacce rilevate:
mdatp threat list
Il risultato mostra:
ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
Nome: Comportamento: MacOS/MacOSChangeFileTest
Tipo: "comportamento"
Tempo di rilevamento: mar 7 maggio 20:23:41 2024
Stato: "in quarantena"
Se si dispone di Microsoft Defender per endpoint P2/P1 o Microsoft Defender per le aziende, passare al portale di Microsoft Defender XDR e verrà visualizzato un avviso denominato" Comportamento sospetto 'MacOSChangeFileTest' bloccato.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per