Demonstração de Monitorização de Comportamento
Aplica-se a:
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender para Empresas
- API do Microsoft Defender para Endpoint 1
- Antivírus do Microsoft Defender
- Microsoft Defender para Indivíduos
A Monitorização de Comportamento no Antivírus do Microsoft Defender monitoriza o comportamento do processo para detetar e analisar potenciais ameaças com base no comportamento de aplicações, serviços e ficheiros. Em vez de depender apenas da correspondência de conteúdos, que identifica padrões de software maligno conhecidos, a monitorização do comportamento centra-se em observar o comportamento do software em tempo real.
Requisitos de cenário e configuração
- Esta demonstração só é executada no macOS
- A proteção em tempo real do Microsoft Defender está ativada
- A Monitorização de Comportamento está ativada
Verificar se a proteção em tempo real do Microsoft Defender está ativada
Para verificar se a proteção em tempo real (RTP) está ativada, abra uma janela do terminal e copie e execute o seguinte comando:
mdatp health --field real_time_protection_enabled
Quando o RTP está ativado, o resultado mostra um valor de 1.
Ativar a Monitorização de Comportamento do Microsoft Defender para Endpoint
Para obter mais informações sobre como ativar a Monitorização de Comportamento do Defender para Endpoint, veja Instruções de implementação.
Demonstração de como funciona a Monitorização de Comportamento
Para demonstrar como a Monitorização de Comportamento bloqueia um payload:
Crie um script bash com um editor de script/texto, como o nano ou o Visual Studio Code (VS Code):
#! /usr/bin/bash echo " " >> /tmp/9a74c69a-acdc-4c6d-84a2-0410df8ee480.txt echo " " >> /tmp/f918b422-751c-423e-bfe1-dbbb2ab4385a.txt sleep 5Guardar como BM_test.sh
Execute o seguinte comando para tornar o script bash executável:
sudo chmod u+x BM_test.shExecute o script de bash:
sudo bash BM_test.sh
O resultado mostra:
zsh: sudo bash morto BM_test.sh
O ficheiro foi colocado em quarentena pelo Defender para Endpoint no macOS. Utilize o seguinte comando para listar todas as ameaças detetadas:
mdatp threat list
O resultado mostra:
ID: "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
Nome: Comportamento: MacOS/MacOSChangeFileTest
Tipo: "comportamento"
Hora da deteção: Tue 7 de maio 20:23:41 2024
Estado: "em quarentena"
Se tiver o Microsoft Defender para Endpoint P2/P1 ou o Microsoft Defender para Empresas, aceda ao portal do Microsoft Defender XDR e verá um alerta com o nome: "Comportamento suspeito de "MacOSChangeFileTest" bloqueado."