Compartilhar via


Demonstração de Monitoramento de Comportamento

Aplica-se a:

O Monitoramento de Comportamento no Microsoft Defender Antivírus monitora o comportamento do processo para detectar e analisar possíveis ameaças com base no comportamento de aplicativos, serviços e arquivos. Em vez de depender apenas da correspondência de conteúdo, que identifica padrões de malware conhecidos, o monitoramento de comportamento se concentra em observar como o software se comporta em tempo real.

Requisitos de cenário e configuração

Verifique se Microsoft Defender a proteção em tempo real está habilitada

Para verificar se a RTP (proteção em tempo real) está habilitada, abra uma janela do terminal e copie e execute o seguinte comando:

mdatp health --field real_time_protection_enabled

Quando o RTP está habilitado, o resultado mostra um valor de 1.

Habilitar o Monitoramento de Comportamento para Microsoft Defender para Ponto de Extremidade

Para obter mais informações sobre como habilitar o Monitoramento de Comportamento para Defender para Ponto de Extremidade, confira Instruções de implantação.

Demonstração de como o Monitoramento de Comportamento funciona

Para demonstrar como o Monitoramento de Comportamento bloqueia uma carga:

  1. Create um script bash usando um editor de script/texto, como nano ou Visual Studio Code (VS Code):
#! /usr/bin/bash
echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt 
echo " " >>  /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt 
sleep 5
  1. Salvar como BM_test.sh
  2. Execute o comando a seguir para tornar o script bash executável.
sudo chmod u+x BM_test.sh
  1. . Executar o script bash
sudo bash BM_test.sh

O resultado mostra:

zsh: matou a BM_test.sh de sudo bash

O arquivo foi colocado em quarentena pelo Defender para Ponto de Extremidade no macOS. Use o seguinte comando para listar todas as ameaças detectadas:

mdatp threat list

O resultado mostra:

ID: "xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx"

Nome: Comportamento: MacOS/MacOSChangeFileTest

Tipo: "comportamento"

Hora da detecção: ter 7 de maio 20:23:41 2024

Status: "quarentena"

Se você tiver Microsoft Defender para Ponto de Extremidade P2/P1 ou Microsoft Defender para Empresas, acesse o portal Microsoft Defender XDR e verá um alerta chamado: "O comportamento suspeito 'MacOSChangeFileTest' foi bloqueado".