Surveillance du comportement dans Microsoft Defender Antivirus

S’applique à :

La surveillance du comportement est une fonctionnalité de détection et de protection critique de Microsoft Defender Antivirus.

Surveille le comportement des processus pour détecter et analyser les menaces potentielles en fonction du comportement des applications, des services et des fichiers. Au lieu de s’appuyer uniquement sur la détection basée sur les signatures (qui identifie les modèles de programmes malveillants connus), la surveillance du comportement se concentre sur l’observation du comportement des logiciels en temps réel. Voici ce que cela implique :

  1. détection des menaces Real-Time :

    • Observez en permanence les processus, les activités du système de fichiers et les interactions au sein du système.
    • L’antivirus Defender peut identifier les modèles associés à des programmes malveillants ou à d’autres menaces. Par exemple, il recherche les processus qui modifient les fichiers existants, modifient ou créent des clés de registre de démarrage automatique (ASEP) et d’autres modifications apportées au système de fichiers ou à la structure.
  2. Approche dynamique :

  • Contrairement à la détection statique basée sur les signatures, la surveillance du comportement s’adapte aux menaces nouvelles et évolutives.

  • Microsoft Defender Antivirus utilise des modèles prédéfinis et observe comment les logiciels se comportent pendant l’exécution. Pour les logiciels malveillants qui ne correspondent à aucun modèle prédéfini, Microsoft Defender Antivirus utilise la détection d’anomalies.

  • Si un programme présente un comportement suspect (par exemple, en tentant de modifier des fichiers système critiques), Microsoft Defender Antivirus peut prendre des mesures pour éviter d’autres dommages et annuler certaines actions précédentes de programmes malveillants.

La surveillance du comportement améliore la capacité de l’Antivirus Defender à détecter de manière proactive les menaces émergentes en se concentrant sur les actions et les comportements en temps réel plutôt que de s’appuyer uniquement sur des signatures connues.

Les fonctionnalités suivantes dépendent de la surveillance du comportement.

Anti-programme malveillant :

  • Indicateurs, Hachage de fichier, autoriser/bloquer

Protection réseau :

  • Indicateurs, adresse IP/URL, autoriser/bloquer
  • Filtrage de contenu web, autoriser/bloquer

Remarque

La surveillance du comportement est protégée par la protection contre les falsifications.

Pour désactiver temporairement la surveillance du comportement afin de la supprimer de l’image, vous souhaitez d’abord activer le mode résolution des problèmes, désactiver la protection contre les falsifications, puis désactiver la surveillance du comportement.

Modifier la stratégie de surveillance du comportement

Le tableau suivant présente les différentes façons de configurer la surveillance du comportement.

Outil de gestion Nom Liens
Gestion des paramètres de sécurité Autoriser la surveillance du comportement Cet article
Intune Autoriser la surveillance du comportement Paramètres de stratégie antivirus Windows pour antivirus Microsoft Defender pour Intune
CSP AllowBehaviorMonitoring Fournisseur de services de configuration Defender Policy
attachement de locataire Configuration Manager Activer la surveillance du comportement Paramètres de stratégie antivirus Windows de Microsoft Defender Antivirus pour les appareils attachés au locataire
Stratégie de groupe Activer la surveillance du comportement Télécharger la feuille de calcul de référence des paramètres stratégie de groupe pour Windows 11 mise à jour 2023 (23H2)
PowerShell Set-Preference -DisableBehaviorMonitoring Set-MpPreference
WMI booléen DisableBehaviorMonitoring ; MSFT_MpPreference classe

Si vous utilisez Microsoft Defender pour entreprises, consultez Examiner ou modifier vos stratégies de protection nouvelle génération dans Microsoft Defender pour entreprises.

Modifier les paramètres de surveillance du comportement à l’aide de PowerShell

Utilisez la commande suivante pour modifier les paramètres de surveillance du comportement :

Set-MpPreference -DisableBehaviorMonitoring <true | false>
  • True désactive l’analyse du comportement.
  • False active la surveillance du comportement.

Pour plus d’informations, consultez Set-MpPreference.

Interroger les status de surveillance du comportement à partir de PowerShell

Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled

Si la valeur retournée est true, la surveillance du comportement est activée.

Interroger les status de surveillance du comportement à l’aide de la chasse avancée

Vous pouvez utiliser la chasse avancée (AH) pour interroger les status de surveillance du comportement.

Nécessite Microsoft Defender XDR, Microsoft Defender pour point de terminaison Plan 2 ou Microsoft Defender pour entreprises.

let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc

Résolution des problèmes d’utilisation élevée du processeur

Les détections liées à la surveillance du comportement commencent par « Comportement ».

Lorsque vous examinez l’utilisation élevée du processeur dans MsMpEng.exe, vous pouvez désactiver temporairement la surveillance du comportement pour voir si les problèmes persistent.

Vous pouvez utiliser l’Analyseur de performances pour Microsoft Defender Antivirus pour rechercher \chemin\processus, processus et/ou extensions de fichier qui contribuent à l’utilisation élevée du processeur. Vous pouvez ensuite ajouter ces éléments à l’exclusion contextuelle.

Pour plus d’informations, consultez Analyseur de performances pour Antivirus Microsoft Defender.

Si vous constatez une utilisation élevée du processeur due à la surveillance du comportement, poursuivez la résolution du problème en rétablissant chacun des éléments suivants dans l’ordre. Réactivez la surveillance du comportement après avoir rétabli chaque élément pour identifier l’emplacement du problème.

  1. mise à jour de la plateforme
  2. mise à jour du moteur
  3. mise à jour du renseignement de sécurité.

Si vous rencontrez toujours des problèmes d’utilisation élevée du processeur, contactez le support Microsoft et préparez vos données de l’analyseur client.

Si la surveillance du comportement n’est pas à l’origine du problème, utilisez l’Analyseur de performances pour Microsoft Defender Antivirus afin de collecter les informations de journal. Collectez deux journaux différents à l’aide de a -c et a -a. Ces informations sont prêtes lorsque vous contactez le support Microsoft.

Pour plus d’informations, consultez Collecte de données pour la résolution des problèmes avancées sur Windows.