Dimostrazione del monitoraggio del comportamento

Si applica a:

• Microsoft Defender per endpoint Piano 2
• Microsoft Defender for Business
• Microsoft Defender per endpoint Piano 1
• Antivirus Microsoft Defender
• Microsoft Defender per utenti singoli

Monitoraggio del comportamento in Microsoft Defender Antivirus monitora il comportamento dei processi per rilevare e analizzare potenziali minacce in base al comportamento di applicazioni, servizi e file. Invece di basarsi esclusivamente sulla corrispondenza dei contenuti, che identifica i modelli di malware noti, il monitoraggio del comportamento si concentra sull'osservazione del comportamento del software in tempo reale.

Requisiti e configurazione dello scenario

• Questa dimostrazione viene eseguita solo in macOS
• La protezione in tempo reale di Microsoft Defender è abilitata
• Monitoraggio del comportamento abilitato

Verificare che la protezione in tempo reale di Microsoft Defender sia abilitata

Per verificare che la protezione in tempo reale (RTP) sia abilitata, aprire una finestra del terminale e copiare ed eseguire il comando seguente:

mdatp health --field real_time_protection_enabled

Quando RTP è abilitato, il risultato mostra un valore pari a 1.

Abilitare il monitoraggio del comportamento per Microsoft Defender per endpoint

Per altre informazioni su come abilitare il monitoraggio del comportamento per Defender per endpoint, vedere Istruzioni per la distribuzione.

Dimostrazione del funzionamento del monitoraggio del comportamento

Per illustrare in che modo il monitoraggio del comportamento blocca un payload:

1. Creare uno script bash usando uno script/editor di testo, ad esempio nano o Visual Studio Code (VS Code):

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Salva come BM_test.sh

3. Eseguire il comando seguente per rendere eseguibile lo script bash:

   sudo chmod u+x BM_test.sh
   

4. Eseguire lo script bash:

sudo bash BM_test.sh

Il risultato mostra:

zsh: ucciso sudo bash BM_test.sh

Il file è stato messo in quarantena da Defender per Endpoint in macOS. Usare il comando seguente per elencare tutte le minacce rilevate:

mdatp threat list

Il risultato mostra:

ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Nome: Comportamento: MacOS/MacOSChangeFileTest

Tipo: "comportamento"

Tempo di rilevamento: mar 7 maggio 20:23:41 2024

Stato: "in quarantena"

Se si dispone di Microsoft Defender per endpoint P2/P1 o Microsoft Defender per le aziende, passare al portale di Microsoft Defender XDR e verrà visualizzato un avviso denominato" Comportamento sospetto 'MacOSChangeFileTest' bloccato.