Demonstração de Monitorização de Comportamento

Aplica-se a:

• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender para Empresas
• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender Antivírus
• Microsoft Defender para Indivíduos

A Monitorização de Comportamento no Antivírus do Microsoft Defender monitoriza o comportamento do processo para detetar e analisar potenciais ameaças com base no comportamento de aplicações, serviços e ficheiros. Em vez de depender apenas da correspondência de conteúdos, que identifica padrões de software maligno conhecidos, a monitorização do comportamento centra-se em observar o comportamento do software em tempo real.

Requisitos de cenário e configuração

• Esta demonstração só é executada no macOS
• A proteção em tempo real do Microsoft Defender está ativada
• A Monitorização de Comportamento está ativada

Verificar se a proteção em tempo real do Microsoft Defender está ativada

Para verificar se a proteção em tempo real (RTP) está ativada, abra uma janela do terminal e copie e execute o seguinte comando:

mdatp health --field real_time_protection_enabled

Quando o RTP está ativado, o resultado mostra um valor de 1.

Ativar a Monitorização de Comportamento do Microsoft Defender para Endpoint

Para obter mais informações sobre como ativar a Monitorização de Comportamento do Defender para Endpoint, veja Instruções de implementação.

Demonstração de como funciona a Monitorização de Comportamento

Para demonstrar como a Monitorização de Comportamento bloqueia um payload:

1. Crie um script bash com um editor de script/texto, como o nano ou o Visual Studio Code (VS Code):

   #! /usr/bin/bash
   echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt
   echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt
   sleep 5
   

2. Guardar como BM_test.sh

3. Execute o seguinte comando para tornar o script bash executável:

   sudo chmod u+x BM_test.sh
   

4. Execute o script de bash:

sudo bash BM_test.sh

O resultado mostra:

zsh: sudo bash morto BM_test.sh

O ficheiro foi colocado em quarentena pelo Defender para Endpoint no macOS. Utilize o seguinte comando para listar todas as ameaças detetadas:

mdatp threat list

O resultado mostra:

ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"

Nome: Comportamento: MacOS/MacOSChangeFileTest

Tipo: "comportamento"

Hora da deteção: Tue 7 de maio 20:23:41 2024

Estado: "em quarentena"

Se tiver o Microsoft Defender para Endpoint P2/P1 ou o Microsoft Defender para Empresas, aceda ao portal do Microsoft Defender XDR e verá um alerta com o nome: "Comportamento suspeito de "MacOSChangeFileTest" bloqueado."