Bloqueio comportamental do cliente
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
- Microsoft Defender Antivírus
Plataforma
- Windows
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Visão Geral
O bloqueio comportamental do cliente é um componente dos recursos de bloqueio comportamental e contenção no Defender para Ponto de Extremidade. Como comportamentos suspeitos são detectados em dispositivos (também chamados de clientes ou pontos de extremidade), artefatos (como arquivos ou aplicativos) são bloqueados, verificados e corrigidos automaticamente.
A proteção contra antivírus funciona melhor quando emparelhada com a proteção de nuvem.
Como funciona o bloqueio comportamental do cliente
Microsoft Defender Antivírus pode detectar comportamento suspeito, código mal-intencionado, ataques sem arquivos e na memória e muito mais em um dispositivo. Quando comportamentos suspeitos são detectados, Microsoft Defender Antivírus monitora e envia esses comportamentos suspeitos e suas árvores de processo para o serviço de proteção de nuvem. O machine learning diferencia entre aplicativos mal-intencionados e bons comportamentos dentro de milissegundos e classifica cada artefato. Em tempo quase real, assim que um artefato é considerado mal-intencionado, ele é bloqueado no dispositivo.
Sempre que um comportamento suspeito é detectado, um alerta é gerado e fica visível enquanto o ataque foi detectado e interrompido; alertas, como um "alerta de acesso inicial", são disparados e aparecem no portal do Microsoft Defender (anteriormente Microsoft Defender XDR).
O bloqueio comportamental do cliente é eficaz porque não só ajuda a impedir que um ataque seja iniciado, como pode ajudar a parar um ataque que começou a ser executado. E, com o bloqueio de loop de comentários (outra funcionalidade de bloqueio comportamental e contenção), os ataques são evitados em outros dispositivos em sua organização.
Detecções baseadas em comportamento
As detecções baseadas em comportamento são nomeadas de acordo com o MITRE ATT&CK Matrix for Enterprise. A convenção de nomenclatura ajuda a identificar o estágio de ataque em que o comportamento mal-intencionado foi observado:
Tática | Nome da ameaça de detecção |
---|---|
Acesso inicial | Behavior:Win32/InitialAccess.*!ml |
Execução | Behavior:Win32/Execution.*!ml |
Persistência | Behavior:Win32/Persistence.*!ml |
Elevação de Privilégio | Behavior:Win32/PrivilegeEscalation.*!ml |
Evasão de defesa | Behavior:Win32/DefenseEvasion.*!ml |
Acesso à credencial | Behavior:Win32/CredentialAccess.*!ml |
Descoberta | Behavior:Win32/Discovery.*!ml |
Movimento Lateral | Behavior:Win32/LateralMovement.*!ml |
Coleção | Behavior:Win32/Collection.*!ml |
Comando e Controle | Behavior:Win32/CommandAndControl.*!ml |
Exfiltração | Behavior:Win32/Exfiltration.*!ml |
Impacto | Behavior:Win32/Impact.*!ml |
Uncategorized | Behavior:Win32/Generic.*!ml |
Dica
Para saber mais sobre ameaças específicas, confira atividades recentes de ameaças globais.
Configurando o bloqueio comportamental do cliente
Se sua organização estiver usando o Defender para Ponto de Extremidade, o bloqueio comportamental do cliente será habilitado por padrão. No entanto, para se beneficiar de todos os recursos do Defender para Ponto de Extremidade, incluindo bloqueio e contenção comportamental, verifique se os seguintes recursos e recursos do Defender para Ponto de Extremidade estão habilitados e configurados:
- Linhas de base do Defender para Ponto de Extremidade
- Dispositivos integrados ao Defender para Ponto de Extremidade
- EDR em modo de bloco
- Redução de superfície de ataque
- Proteção de próxima geração (antivírus, antimalware e outras funcionalidades de proteção contra ameaças)
Dica
Se você estiver procurando informações relacionadas a antivírus para outras plataformas, consulte:
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no macOS
- Microsoft Defender para Ponto de Extremidade no Mac
- Configurações de política de antivírus do macOS para o Microsoft Defender Antivírus para Intune
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no Linux
- Microsoft Defender para Ponto de Extremidade para Linux
- Configurar o Defender para o Ponto de extremidade nos recursos do Android
- Configurar os recursos do Microsoft Defender para Ponto de Extremidade no iOS
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de