Use o bloqueio comportamental
O cenário de ameaças de hoje é invadido por malware sem arquivos que vive da terra. Malware com ameaças altamente polimórficas que sofrem mutações mais rápidas do que as soluções tradicionais podem acompanhar e ataques operados por humanos que se adaptam ao que os adversários encontram em dispositivos comprometidos. As soluções de segurança tradicionais não são suficientes para impedir esses ataques. Você precisa de recursos apoiados por inteligência artificial (IA) e aprendizado de máquina (ML), como bloqueio comportamental e contenção, incluídos no Defender for Endpoint.
Os recursos comportamentais de bloqueio e contenção podem ajudar a identificar e parar ameaças com base em seus comportamentos e árvores de processo, mesmo quando a ameaça já começou. Os componentes e recursos de proteção de última geração, EDR e Defender for Endpoint trabalham juntos em recursos comportamentais de bloqueio e contenção.
Os recursos comportamentais de bloqueio e contenção funcionam com vários componentes e recursos do Defender for Endpoint para interromper ataques imediatamente e impedir que os ataques progridam.
A proteção de última geração (que inclui o Microsoft Defender Antivirus) pode detetar ameaças analisando comportamentos e interrompendo ameaças que começaram a ser executadas.
O EDR (Endpoint detection and response) recebe sinais de segurança de toda a rede, dispositivos e comportamento do kernel do sistema operacional (SO). À medida que as ameaças são detetadas, os alertas são criados. Vários alertas do mesmo tipo são agregados em incidentes, o que facilita a investigação e a resposta da sua equipe de operações de segurança.
O Defender for Endpoint tem uma ampla gama de óticas em identidades, e-mails, dados e aplicativos. E os sinais de comportamento de rede, endpoint e kernel recebidos através do EDR. Um componente do Microsoft Defender XDR, o Defender for Endpoint processa e correlaciona esses sinais, gera alertas de deteção e conecta alertas relacionados em incidentes.
Com esses recursos, mais ameaças podem ser evitadas ou bloqueadas, mesmo que comecem a ser executadas. Sempre que um comportamento suspeito é detetado, a ameaça é contida, alertas são criados e as ameaças são interrompidas.
A imagem a seguir mostra um exemplo de um alerta que foi acionado por recursos comportamentais de bloqueio e contenção:
Bloqueio comportamental do cliente
O bloqueio comportamental do cliente é um componente dos recursos comportamentais de bloqueio e contenção no Defender for Endpoint. À medida que comportamentos suspeitos são detetados em dispositivos, chamados de clientes ou endpoints, artefatos, como arquivos ou aplicativos, são bloqueados, verificados e corrigidos automaticamente.
Como funciona o bloqueio comportamental do cliente
O Microsoft Defender Antivírus pode detetar comportamentos suspeitos, códigos maliciosos, ataques sem ficheiros e na memória e muito mais num dispositivo. Quando comportamentos suspeitos são detetados, o Microsoft Defender Antivírus monitora e envia esses comportamentos suspeitos e suas árvores de processo para o serviço de proteção na nuvem. O aprendizado de máquina diferencia entre aplicativos maliciosos e bons comportamentos em milissegundos e classifica cada artefato. Assim que um artefato é considerado malicioso, ele é bloqueado no dispositivo.
Sempre que um comportamento suspeito é detetado, um alerta é gerado e fica visível no portal do Microsoft Defender
O bloqueio comportamental do cliente é eficaz porque não só ajuda a impedir que um ataque comece, mas também pode ajudar a parar um ataque que começou a ser executado. Com o bloqueio de loop de feedback (outro recurso de bloqueio comportamental e contenção), os ataques são evitados em outros dispositivos em sua organização.
Deteções baseadas em comportamento
As deteções baseadas em comportamento são nomeadas de acordo com a matriz MITRE ATT&CK FOR Enterprise. A convenção de nomenclatura ajuda a identificar o estágio de ataque em que o comportamento malicioso foi observado:
| Tática | Nome da ameaça de deteção |
|---|---|
| Acesso inicial | Comportamento:Win32/InitialAccess.*!ml |
| Execução | Comportamento:Win32/Execution.*!ml |
| Persistência | Comportamento:Win32/Persistence.*!ml |
| Escalamento de Privilégios | Comportamento:Win32/PrivilegeEscalation.*!ml |
| Evasão de Defesa | Comportamento:Win32/DefenseEvasion.*!ml |
| Acesso a credenciais | Comportamento:Win32/CredentialAccess.*!ml |
| Deteção | Comportamento:Win32/Discovery.*!ml |
| Movimento Lateral | Comportamento: Win32/LateralMovement.*!ml |
| Coleção | Comportamento:Win32/Collection.*!ml |
| Comando e Controlo | Comportamento:Win32/CommandAndControl.*!ml |
| Exfiltração | Comportamento: Win32/Exfiltration.*!ml |
| Impacto | Comportamento:Win32/Impact.*!ml |
| Não Categorizado | Win32/Genérico.*!ml |
Bloqueio de loop de feedback
O bloqueio de loop de feedback, também conhecido como proteção rápida, é um componente dos recursos comportamentais de bloqueio e contenção no Microsoft Defender for Endpoint. Com o bloqueio de loop de feedback, os dispositivos em toda a sua organização estão mais bem protegidos contra ataques.
Como funciona o bloqueio de loop de feedback
Quando um comportamento ou arquivo suspeito é detetado, como pelo Microsoft Defender Antivirus, as informações sobre esse artefato são enviadas para vários classificadores. O mecanismo de loop de proteção rápida inspeciona e correlaciona as informações com outros sinais para chegar a uma decisão sobre o bloqueio de um arquivo. A verificação e classificação de artefatos acontece rapidamente. Isso resulta em um bloqueio rápido de malware confirmado e impulsiona a proteção em todo o ecossistema.
Com a proteção rápida em vigor, um ataque pode ser interrompido em um dispositivo, outros dispositivos na organização e dispositivos em outras organizações, à medida que um ataque tenta ampliar sua posição.
Deteção e resposta de pontos finais no modo de bloco
Quando a deteção e resposta de pontos finais (EDR) no modo de bloqueio está ativada, o Defender for Endpoint bloqueia artefatos ou comportamentos mal-intencionados observados por meio da proteção pós-violação. O EDR no modo de bloco funciona nos bastidores para remediar artefatos maliciosos que são detetados após a violação.
O EDR em modo de bloco também é integrado com o gerenciamento de ameaças e vulnerabilidades. A equipe de segurança da sua organização receberá uma recomendação de segurança para ativar o EDR no modo de bloco se ele ainda não estiver habilitado.
O que acontece quando algo é detetado?
Quando o EDR no modo de bloco é ativado e um artefato mal-intencionado é detetado, ações de bloqueio e correção são tomadas. Você verá o status de deteção como Bloqueado ou Impedido como ações concluídas na Central de Ações.
A imagem a seguir mostra uma instância de software indesejado que foi detetado e bloqueado através do EDR no modo de bloco:
