Monitorização de comportamento no Antivírus do Microsoft Defender
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender para Empresas
- Microsoft Defender para Indivíduos
- Antivírus do Microsoft Defender
A monitorização de comportamento é uma funcionalidade crítica de deteção e proteção do Antivírus Microsoft Defender.
Monitoriza o comportamento do processo para detetar e analisar potenciais ameaças com base no comportamento de aplicações, serviços e ficheiros. Em vez de depender apenas da deteção baseada em assinaturas (que identifica padrões de software maligno conhecidos), a monitorização do comportamento centra-se em observar o comportamento do software em tempo real. Eis o que implica:
Real-Time Deteção de Ameaças:
- Observar continuamente processos, atividades do sistema de ficheiros e interações no sistema.
- O Antivírus do Defender pode identificar padrões associados a software maligno ou outras ameaças. Por exemplo, procura processos que façam alterações invulgares aos ficheiros existentes, modificam ou criam chaves de registo de arranque automático (ASEP) e outras alterações ao sistema ou estrutura de ficheiros.
Abordagem Dinâmica:
Ao contrário da deteção estática baseada em assinaturas, a monitorização de comportamento adapta-se a ameaças novas e em evolução.
Microsoft Defender Antivírus utiliza padrões predefinidos e observa o comportamento do software durante a execução. Para software maligno que não se ajuste a nenhum padrão predefinido, Microsoft Defender Antivírus utiliza a deteção de anomalias.
Se um programa mostrar um comportamento suspeito (por exemplo, tentar modificar ficheiros de sistema críticos), Microsoft Defender Antivírus pode tomar medidas para evitar mais danos e reverter algumas ações de software maligno anteriores.
A monitorização de comportamento melhora a capacidade do Antivírus do Defender de detetar proativamente ameaças emergentes ao concentrar-se em ações e comportamentos em tempo real, em vez de depender apenas de assinaturas conhecidas.
As seguintes funcionalidades dependem da monitorização de comportamento.
Antimalware:
- Indicadores, Hash de ficheiros, permitir/bloquear
Proteção de Rede:
- Indicadores, endereço IP/URL, permitir/bloquear
- Filtragem de Conteúdo Web, permitir/bloquear
Nota
A monitorização de comportamento está protegida pela proteção contra adulteração.
Para desativar temporariamente a monitorização de comportamento para removê-la da imagem, primeiro quer ativar o Modo de resolução de problemas, desativar a Proteção contra Adulteração e, em seguida, desativar a monitorização do comportamento.
Alterar a política de monitorização de comportamento
A tabela seguinte mostra as diferentes formas de configurar a monitorização de comportamento.
| Ferramenta de gestão | Name | Ligações |
|---|---|---|
| Gestão de Definições de Segurança | Permitir monitorização de comportamento | Este artigo |
| Intune | Permitir monitorização de comportamento | Definições de política do Antivírus do Windows para o Antivírus do Microsoft Defender para Intune |
| CSP | AllowBehaviorMonitoring | CSP da Política do Defender |
| Anexar Inquilino do Configuration Manager | Ativar a monitorização de comportamento | Definições de política do Antivírus do Windows do Antivírus do Microsoft Defender para dispositivos ligados a inquilinos |
| Política de Grupo | Ativar a monitorização de comportamento | Transferir folha de cálculo de referência de definições de Política de Grupo para Windows 11 Atualização de 2023 (23H2) |
| PowerShell | Set-Preference -DisableBehaviorMonitoring | Set-MpPreference |
| WMI | booleano DisableBehaviorMonitoring; | classe MSFT_MpPreference |
Se utilizar Microsoft Defender para Empresas, consulte Rever ou editar as políticas de proteção da próxima geração no Microsoft Defender para Empresas.
Modificar as definições de monitorização de comportamento com o PowerShell
Utilize o seguinte comando para modificar as definições de monitorização de comportamento:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
Truedesativa a Monitorização de comportamento.Falseativa a monitorização de comportamento.
Para obter mais informações, veja Set-MpPreference.
Consultar o estado de monitorização de comportamento do PowerShell
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
Se o valor devolvido for true, a monitorização de comportamento está ativada.
Consultar o estado de monitorização do comportamento com a Investigação Avançada
Pode utilizar a Investigação Avançada (AH) para consultar o estado da monitorização de comportamento.
Requer Microsoft Defender XDR, Microsoft Defender para Endpoint Plano 2 ou Microsoft Defender para Empresas.
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
Resolver problemas de utilização elevada da CPU
As deteções relacionadas com a monitorização de comportamento começam com "Comportamento".
Ao investigar a utilização elevada da CPU no MsMpEng.exe, pode desativar temporariamente a monitorização do comportamento para ver se os problemas continuam.
Pode utilizar o Analisador de desempenho para Microsoft Defender Antivírus para localizar \path\process, process and/or file extensions que estão a contribuir para a utilização elevada da cpu. Em seguida, pode adicionar estes itens à Exclusão Contextual.
Para obter mais informações, consulte Analisador de desempenho para o Antivírus do Microsoft Defender.
Se estiver a ver uma utilização elevada da CPU causada pela monitorização de comportamento, continue a resolver o problema ao reverter cada um dos seguintes itens por ordem. Reativar a monitorização de comportamento após reverter cada item para identificar onde o problema pode estar.
- atualização da plataforma
- atualização do motor
- atualização de informações de segurança.
Se ainda estiver a deparar-se com problemas de utilização elevada da CPU, contacte o suporte da Microsoft e tenha os seus dados do Client Analyzer prontos.
Se a monitorização de comportamento não estiver a causar o problema, utilize o Analisador de desempenho para Microsoft Defender Antivírus para recolher informações de registo. Recolha dois registos diferentes com a -c e a -a. Tenha estas informações prontas quando contactar o suporte da Microsoft.
Para obter mais informações, veja Recolha de dados para resolução de problemas avançada no Windows.