Bloqueio e contenção comportamental

Aplica-se a:

• Plano 1 do Microsoft Defender para Ponto de Extremidade
• Plano 2 do Microsoft Defender para Ponto de Extremidade
• Microsoft Defender XDR
• Microsoft Defender Antivírus

Plataformas

• Windows

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Visão Geral

O cenário de ameaças de hoje é invadido por malware sem arquivos e que vive da terra, ameaças altamente polimórficas que se transformam mais rápido do que as soluções tradicionais podem acompanhar, e ataques operados por humanos que se adaptam ao que os adversários encontram em dispositivos comprometidos. As soluções de segurança tradicionais não são suficientes para impedir esses ataques; você precisa de recursos com suporte para IA (INTELIGÊNCIA Artificial) e ML (aprendizado de dispositivo), como bloqueio comportamental e contenção, incluídos no Defender para Ponto de Extremidade.

Os recursos de bloqueio e contenção comportamentais podem ajudar a identificar e parar ameaças, com base em seus comportamentos e processar árvores mesmo quando a ameaça tiver iniciado a execução. Os componentes e recursos da próxima geração de proteção, EDR e Defender para Ponto de Extremidade funcionam juntos em recursos de bloqueio e contenção comportamentais.

Os recursos de bloqueio e contenção comportamentais funcionam com vários componentes e recursos do Defender para Ponto de Extremidade para interromper ataques imediatamente e impedir que os ataques progridam.

• A proteção de próxima geração (que inclui Microsoft Defender Antivírus) pode detectar ameaças analisando comportamentos e interromper ameaças que começaram a ser executadas.

• O EDR (detecção e resposta de ponto de extremidade) recebe sinais de segurança em sua rede, dispositivos e comportamento do kernel. À medida que as ameaças são detectadas, os alertas são criados. Vários alertas do mesmo tipo são agregados em incidentes, o que torna mais fácil para sua equipe de operações de segurança investigar e responder.

• O Defender para Ponto de Extremidade tem uma ampla gama de óticas entre identidades, email, dados e aplicativos, além dos sinais de comportamento de rede, ponto de extremidade e kernel recebidos por meio do EDR. Um componente do Microsoft Defender XDR, o Defender para Endpoint processa e correlaciona esses sinais, gera alertas de detecção e conecta alertas relacionados em incidentes.

Com essas funcionalidades, mais ameaças podem ser evitadas ou bloqueadas, mesmo que comecem a ser executadas. Sempre que o comportamento suspeito é detectado, a ameaça é contida, alertas são criados e ameaças são interrompidas em seus rastros.

A imagem a seguir mostra um exemplo de um alerta que foi disparado por recursos de bloqueio e contenção comportamentais:

Componentes do bloqueio comportamental e da contenção

• Regras de redução de superfície de ataque orientadas à política no cliente Comportamentos de ataque comuns predefinidos são impedidos de serem executados, de acordo com suas regras de redução de superfície de ataque. Quando esses comportamentos tentam executar, eles podem ser vistos em Microsoft Defender XDR como alertas informativos. As regras de redução de superfície de ataque não estão habilitadas por padrão; você configura suas políticas no portal Microsoft Defender.

• Bloqueio comportamental do cliente As ameaças em pontos de extremidade são detectadas por meio do machine learning e, em seguida, são bloqueadas e corrigidas automaticamente. (O bloqueio comportamental do cliente está habilitado por padrão.)

• Bloqueio de loop de comentários (também chamado de proteção rápida) As detecções de ameaças são observadas por meio da inteligência comportamental. As ameaças são interrompidas e impedidas de serem executadas em outros pontos de extremidade. (O bloqueio de loop de comentários está habilitado por padrão.)

• EDR (detecção e resposta de ponto de extremidade) no modo de bloco Artefatos mal-intencionados ou comportamentos observados por meio da proteção pós-violação são bloqueados e contidos. O EDR no modo de bloco funciona mesmo que Microsoft Defender Antivírus não seja a solução antivírus primária. (O EDR no modo de bloco não está habilitado por padrão; você o ativa em Microsoft Defender XDR.)

Espere que mais venham na área de bloqueio e contenção comportamental, à medida que a Microsoft continua a melhorar os recursos e os recursos de proteção contra ameaças. Para ver o que está planejado e em andamento agora, visite o roteiro do Microsoft 365.

Exemplos de bloqueio comportamental e contenção em ação

Os recursos de bloqueio e contenção comportamentais bloquearam técnicas de invasor, como o seguinte:

• Despejo de credenciais do LSASS
• Injeção entre processos
• Processar o esvaziamento
• Bypass do Controle de Conta de Usuário
• Adulteração de antivírus (como desabilitar ou adicionar o malware como exclusão)
• Entrar em contato com o Comando e o Controle (C&C) para baixar cargas
• Mineração de moedas
• Modificação do registro de inicialização
• Pass-the-hash attacks
• Instalação do certificado raiz
• Tentativa de exploração para várias vulnerabilidades

Abaixo estão dois exemplos reais de bloqueio comportamental e contenção em ação.

Exemplo 1: ataque de roubo de credencial contra 100 organizações

Como descrito em Em busca de ameaças esquivas: o bloqueio baseado em comportamento controlado por IA interrompe ataques em seus rastros, um ataque de roubo de credencial contra 100 organizações em todo o mundo foi interrompido por recursos de bloqueio e contenção comportamentais. Mensagens de email de phishing que continham um documento de isca foram enviadas para as organizações de destino. Se um destinatário abriu o anexo, um documento remoto relacionado foi capaz de executar código no dispositivo do usuário e carregar malware Lokibot, que roubou credenciais, exfiltrou dados roubados e esperou por instruções adicionais de um servidor de comando e controle.

Os modelos de aprendizado de dispositivo baseados em comportamento no Defender para Ponto de Extremidade pegaram e interromperam as técnicas do invasor em dois pontos na cadeia de ataque:

• A primeira camada de proteção detectou o comportamento de exploração. Os classificadores de aprendizado de dispositivo na nuvem identificaram corretamente a ameaça como e imediatamente instruíram o dispositivo cliente a bloquear o ataque.
• A segunda camada de proteção, que ajudou a parar casos em que o ataque passou pela primeira camada, detectou o esvaziamento do processo, interrompeu esse processo e removeu os arquivos correspondentes (como Lokibot).

Enquanto o ataque foi detectado e interrompido, alertas, como um "alerta de acesso inicial", foram disparados e apareceram no portal Microsoft Defender.

Este exemplo mostra como modelos de aprendizado de dispositivo baseados em comportamento na nuvem adicionam novas camadas de proteção contra ataques, mesmo depois de começarem a ser executados.

Exemplo 2: retransmissão NTLM – Variante de malware de batata suculenta

Conforme descrito na postagem recente do blog, bloqueio comportamental e contenção: Transformando a óptica em proteção, em janeiro de 2020, o Defender para Ponto de Extremidade detectou uma atividade de escalonamento de privilégios em um dispositivo em uma organização. Um alerta chamado "Possível escalonamento de privilégios usando o retransmissão NTLM" foi disparado.

A ameaça acabou sendo malware; era uma nova variante não vista antes de uma notória ferramenta de hacking chamada Juicy Potato, que é usada por invasores para obter escalonamento de privilégios em um dispositivo.

Minutos depois que o alerta foi disparado, o arquivo foi analisado e confirmado como mal-intencionado. Seu processo foi interrompido e bloqueado, conforme mostrado na seguinte imagem:

Alguns minutos após o artefato ser bloqueado, várias instâncias do mesmo arquivo foram bloqueadas no mesmo dispositivo, impedindo que mais invasores ou outros malwares fossem implantados no dispositivo.

Este exemplo mostra que, com os recursos de bloqueio e contenção comportamentais, as ameaças são detectadas, contidas e bloqueadas automaticamente.

Dica

Se você estiver procurando informações relacionadas a antivírus para outras plataformas, consulte:

• Definir preferências para o Microsoft Defender para Ponto de Extremidade no macOS
• Microsoft Defender para Ponto de Extremidade no Mac
• Configurações de política de antivírus do macOS para o Microsoft Defender Antivírus para Intune
• Definir preferências para o Microsoft Defender para Ponto de Extremidade no Linux
• Microsoft Defender para Ponto de Extremidade para Linux
• Configurar o Defender para o Ponto de extremidade nos recursos do Android
• Configurar os recursos do Microsoft Defender para Ponto de Extremidade no iOS

Próximas etapas

• Saiba mais sobre o Defender para Ponto de Extremidade

• Configurar as regras de redução da superfície de ataque

• Habilitar o EDR no modo de bloco

• Veja atividade recente de ameaças globais

• Obter uma visão geral do Microsoft Defender XDR

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.