Monitoramento de comportamento no Microsoft Defender Antivírus
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender para Empresas
- Microsoft Defender para indivíduos
- Microsoft Defender Antivírus
O monitoramento de comportamento é uma funcionalidade crítica de detecção e proteção do Microsoft Defender Antivírus.
Monitora o comportamento do processo para detectar e analisar possíveis ameaças com base no comportamento de aplicativos, serviços e arquivos. Em vez de depender apenas da detecção baseada em assinatura (que identifica padrões de malware conhecidos), o monitoramento de comportamento se concentra em observar como o software se comporta em tempo real. Aqui está o que isso implica:
detecção de ameaças Real-Time:
- Observe continuamente processos, atividades do sistema de arquivos e interações no sistema.
- O Defender Antivírus pode identificar padrões associados a malware ou outras ameaças. Por exemplo, ele procura processos que fazem alterações incomuns em arquivos existentes, modificando ou criando chaves ASEP (registro de inicialização automática) e outras alterações no sistema de arquivos ou na estrutura.
Abordagem dinâmica:
Ao contrário da detecção estática baseada em assinatura, o monitoramento de comportamento se adapta a ameaças novas e em evolução.
Microsoft Defender Antivírus usa padrões predefinidos e observa como o software se comporta durante a execução. Para malware que não se encaixa em nenhum padrão predefinido, Microsoft Defender Antivírus usa detecção de anomalias.
Se um programa mostrar comportamento suspeito (por exemplo, tentar modificar arquivos críticos do sistema), Microsoft Defender Antivírus poderá tomar medidas para evitar danos adicionais e reverter algumas ações de malware anteriores.
O monitoramento de comportamento aprimora a capacidade do Defender Antivírus de detectar ameaças emergentes proativamente, concentrando-se em ações e comportamentos em tempo real, em vez de depender apenas de assinaturas conhecidas.
Os recursos a seguir dependem do monitoramento de comportamento.
Anti-malware:
- Indicadores, hash de arquivo, permitir/bloquear
Proteção de Rede:
- Indicadores, endereço IP/URL, allow/block
- Filtragem de conteúdo da Web, permissão/bloqueio
Observação
O monitoramento de comportamento é protegido pela proteção contra adulteração.
Para desabilitar temporariamente o monitoramento de comportamento para removê-lo da imagem, primeiro você deseja habilitar o modo de solução de problemas, desabilitar a Proteção contra Adulterações e, em seguida, desabilitar o monitoramento de comportamento.
Alterar a política de monitoramento de comportamento
A tabela a seguir mostra as diferentes maneiras de configurar o monitoramento de comportamento.
| Ferramenta de gerenciamento | Nome | Links |
|---|---|---|
| Gerenciamento de Configurações de Segurança | Permitir monitoramento de comportamento | Este artigo |
| Intune | Permitir monitoramento de comportamento | Configurações de política antivírus do Windows para Microsoft Defender Antivírus para Intune |
| CSP | AllowBehaviorMonitoring | Defender Policy CSP |
| anexação de locatário Configuration Manager | Ativar o monitoramento de comportamento | Configurações de política antivírus do Windows do Microsoft Defender Antivírus para dispositivos anexados ao locatário |
| Política de grupo | Ativar o monitoramento de comportamento | Baixar Política de Grupo Planilha de Referência de Configurações para Windows 11 Atualização 2023 (23H2) |
| PowerShell | Set-Preference -DisableBehaviorMonitoring | Set-MpPreference |
| WMI | DisableBehaviorMonitoring booliano; | classe MSFT_MpPreference |
Se você usar Microsoft Defender para Empresas, consulte Revisar ou editar suas políticas de proteção de próxima geração no Microsoft Defender para Empresas.
Modificar as configurações de monitoramento de comportamento usando o PowerShell
Use o seguinte comando para modificar as configurações de monitoramento de comportamento:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
Truedesabilita o monitoramento de comportamento.Falsehabilita o monitoramento de comportamento.
Para obter mais informações, consulte Set-MpPreference.
Consultar o status de monitoramento de comportamento do PowerShell
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
Se o valor retornado for true, o monitoramento de comportamento estará habilitado.
Consultar o status de monitoramento de comportamento usando a Caça Avançada
Você pode usar a AH (Caça Avançada) para consultar o status de monitoramento de comportamento.
Requer Microsoft Defender XDR, Microsoft Defender para Ponto de Extremidade Plano 2 ou Microsoft Defender para Empresas.
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
Solução de problemas de alto uso de CPU
As detecções relacionadas ao monitoramento de comportamento começam com "Comportamento".
Ao investigar o alto uso da CPU no MsMpEng.exe, você pode desabilitar temporariamente o monitoramento de comportamento para ver se os problemas continuam.
Você pode usar o analisador de desempenho para Microsoft Defender Antivírus para encontrar \path\process, process e/ou extensões de arquivo que estão contribuindo para a alta utilização da cpu. Em seguida, você pode adicionar esses itens à Exclusão Contextual.
Para mais informações, consulte Analisador de desempenho para o Microsoft Defender Antivírus.
Se você estiver vendo um alto uso de CPU causado pelo monitoramento de comportamento, continue solução de problemas ao reverter cada um dos seguintes itens em ordem. Habilite novamente o monitoramento de comportamento depois de reverter cada item para identificar onde o problema pode estar.
- atualização da plataforma
- atualização do mecanismo
- atualização de inteligência de segurança.
Se você ainda estiver encontrando altos problemas de uso da CPU, entre em contato com o suporte da Microsoft e prepare os dados do Analisador de Clientes.
Se o monitoramento de comportamento não estiver causando o problema, use o analisador de desempenho para Microsoft Defender Antivírus para coletar informações de log. Colete dois logs diferentes usando a -c e a -a. Tenha essas informações prontas quando entrar em contato com o suporte da Microsoft.
Para obter mais informações, consulte Coleta de dados para solução de problemas avançada no Windows.