Bloqueio comportamental do cliente
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
- Microsoft Defender Antivírus
Plataforma
- Windows
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Visão Geral
O bloqueio comportamental do cliente é um componente das capacidades de bloqueio e contenção comportamentais no Defender para Endpoint. Uma vez que são detetados comportamentos suspeitos em dispositivos (também conhecidos como clientes ou pontos finais), os artefactos (como ficheiros ou aplicações) são bloqueados, verificados e remediados automaticamente.
A proteção antivírus funciona melhor quando emparelhada com a proteção da cloud.
Como funciona o bloqueio comportamental do cliente
Microsoft Defender o Antivírus pode detetar comportamentos suspeitos, código malicioso, ataques sem ficheiros e dentro da memória e muito mais num dispositivo. Quando são detetados comportamentos suspeitos, Microsoft Defender Antivírus monitoriza e envia esses comportamentos suspeitos e as respetivas árvores de processamento para o serviço de proteção da cloud. A aprendizagem automática diferencia entre aplicações maliciosas e bons comportamentos em milissegundos e classifica cada artefacto. Em tempo quase real, assim que se detetar que um artefacto é malicioso, é bloqueado no dispositivo.
Sempre que é detetado um comportamento suspeito, é gerado um alerta e é visível enquanto o ataque foi detetado e parado; os alertas, como um "alerta de acesso inicial", são acionados e apresentados no portal do Microsoft Defender.
O bloqueio comportamental do cliente é eficaz porque não só ajuda a impedir o início de um ataque, como pode ajudar a parar um ataque que começou a ser executado. Além disso, com o bloqueio do ciclo de feedback (outra capacidade de bloqueio comportamental e contenção), os ataques são evitados noutros dispositivos da sua organização.
Deteções baseadas no comportamento
As deteções baseadas no comportamento são nomeadas de acordo com a MITRE ATT&Matriz CK para Enterprise. A convenção de nomenclatura ajuda a identificar a fase de ataque onde o comportamento malicioso foi observado:
| Tática | Nome da ameaça de deteção |
|---|---|
| Acesso inicial | Behavior:Win32/InitialAccess.*!ml |
| Execução | Behavior:Win32/Execution.*!ml |
| Persistência | Behavior:Win32/Persistence.*!ml |
| Elevação de Privilégio | Behavior:Win32/PrivilegeEscalation.*!ml |
| Evasão de defesa | Behavior:Win32/DefenseEvasion.*!ml |
| Acesso à credencial | Behavior:Win32/CredentialAccess.*!ml |
| Descoberta | Behavior:Win32/Discovery.*!ml |
| Movimento Lateral | Behavior:Win32/LateralMovement.*!ml |
| Coleção | Behavior:Win32/Collection.*!ml |
| Comando e Controlo | Behavior:Win32/CommandAndControl.*!ml |
| Exfiltração | Behavior:Win32/Exfiltration.*!ml |
| Impacto | Behavior:Win32/Impact.*!ml |
| Não categorizado | Behavior:Win32/Generic.*!ml |
Dica
Para saber mais sobre ameaças específicas, veja atividade de ameaças global recente.
Configurar o bloqueio comportamental do cliente
Se a sua organização estiver a utilizar o Defender para Endpoint, o bloqueio comportamental do cliente está ativado por predefinição. No entanto, para beneficiar de todas as capacidades do Defender para Endpoint, incluindo o bloqueio comportamental e a contenção, certifique-se de que as seguintes funcionalidades e capacidades do Defender para Endpoint estão ativadas e configuradas:
- Linhas de base do Defender para Endpoint
- Dispositivos integrados no Defender para Endpoint
- EDR em modo de bloco
- Redução de superfície de ataque
- Proteção de próxima geração (antivírus, antimalware e outras capacidades de proteção contra ameaças)
Dica
Se você estiver procurando informações relacionadas a antivírus para outras plataformas, consulte:
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no macOS
- Microsoft Defender para Ponto de Extremidade no Mac
- Configurações de política de antivírus do macOS para o Microsoft Defender Antivírus para Intune
- Definir preferências para o Microsoft Defender para Ponto de Extremidade no Linux
- Microsoft Defender para Ponto de Extremidade para Linux
- Configurar o Defender para o Ponto de extremidade nos recursos do Android
- Configurar os recursos do Microsoft Defender para Ponto de Extremidade no iOS
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.