Bloqueio de comportamentos de cliente
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
- Antivírus do Microsoft Defender
Plataforma
- Windows
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Descrição geral
O bloqueio comportamental do cliente é um componente das capacidades de bloqueio e contenção comportamentais no Defender para Endpoint. Uma vez que são detetados comportamentos suspeitos em dispositivos (também conhecidos como clientes ou pontos finais), os artefactos (como ficheiros ou aplicações) são bloqueados, verificados e remediados automaticamente.
A proteção antivírus funciona melhor quando emparelhada com a proteção da cloud.
Como funciona o bloqueio comportamental do cliente
Microsoft Defender o Antivírus pode detetar comportamentos suspeitos, código malicioso, ataques sem ficheiros e dentro da memória e muito mais num dispositivo. Quando são detetados comportamentos suspeitos, Microsoft Defender Antivírus monitoriza e envia esses comportamentos suspeitos e as respetivas árvores de processamento para o serviço de proteção da cloud. A aprendizagem automática diferencia entre aplicações maliciosas e bons comportamentos em milissegundos e classifica cada artefacto. Em tempo quase real, assim que se detetar que um artefacto é malicioso, é bloqueado no dispositivo.
Sempre que é detetado um comportamento suspeito, é gerado um alerta e é visível enquanto o ataque foi detetado e parado; Os alertas, como um "alerta de acesso inicial", são acionados e apresentados no portal do Microsoft Defender (anteriormente Microsoft Defender XDR).
O bloqueio comportamental do cliente é eficaz porque não só ajuda a impedir o início de um ataque, como pode ajudar a parar um ataque que começou a ser executado. Além disso, com o bloqueio do ciclo de feedback (outra capacidade de bloqueio comportamental e contenção), os ataques são evitados noutros dispositivos da sua organização.
Deteções baseadas no comportamento
As deteções baseadas no comportamento são nomeadas de acordo com a MITRE ATT&Matriz CK para Enterprise. A convenção de nomenclatura ajuda a identificar a fase de ataque onde o comportamento malicioso foi observado:
| Tática | Nome da ameaça de deteção |
|---|---|
| Acesso Inicial | Behavior:Win32/InitialAccess.*!ml |
| Execução | Behavior:Win32/Execution.*!ml |
| Persistência | Behavior:Win32/Persistence.*!ml |
| Escalamento de Privilégios | Behavior:Win32/PrivilegeEscalation.*!ml |
| Evasão à Defesa | Behavior:Win32/DefenseEvasion.*!ml |
| Acesso a Credenciais | Behavior:Win32/CredentialAccess.*!ml |
| Deteção | Behavior:Win32/Discovery.*!ml |
| Movimento Lateral | Behavior:Win32/LateralMovement.*!ml |
| Coleção | Behavior:Win32/Collection.*!ml |
| Comando e Controlo | Behavior:Win32/CommandAndControl.*!ml |
| Exfiltração | Behavior:Win32/Exfiltration.*!ml |
| Impacto | Behavior:Win32/Impact.*!ml |
| Não categorizado | Behavior:Win32/Generic.*!ml |
Sugestão
Para saber mais sobre ameaças específicas, veja atividade de ameaças global recente.
Configurar o bloqueio comportamental do cliente
Se a sua organização estiver a utilizar o Defender para Endpoint, o bloqueio comportamental do cliente está ativado por predefinição. No entanto, para beneficiar de todas as capacidades do Defender para Endpoint, incluindo o bloqueio comportamental e a contenção, certifique-se de que as seguintes funcionalidades e capacidades do Defender para Endpoint estão ativadas e configuradas:
- Linhas de base do Defender para Endpoint
- Dispositivos integrados no Defender para Endpoint
- DRP no modo de bloqueio
- Redução da superfície de ataque
- Proteção de próxima geração (antivírus, antimalware e outras capacidades de proteção contra ameaças)
Sugestão
Se estiver à procura de informações relacionadas com o Antivírus para outras plataformas, consulte:
- Definir preferências para o Microsoft Defender para Endpoint no macOS
- Microsoft Defender para Endpoint no Mac
- Definições de política de Antivírus do macOS para o Antivírus do Microsoft Defender para Intune
- Definir preferências para o Microsoft Defender para Endpoint no Linux
- Microsoft Defender para Endpoint no Linux
- Configurar o Microsoft Defender para Endpoint em funcionalidades do Android
- Configurar o Microsoft Defender para Endpoint em funcionalidades do iOS
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários