Detecao Comportamental
O que é Detecao Comportamental?
Detecao ComportamentalAbordagem de detecao que identifica atividade maliciosa pelo comportamento em execucao de processos, utilizadores e fluxos de rede, em vez de assinaturas estaticas.
A detecao comportamental observa o que o codigo faz num sistema — arvores de processos, relacoes pai-filho, chamadas a APIs, escritas em ficheiros e registo, destinos de rede, argumentos de linha de comando, criacao de tarefas agendadas — e sinaliza sequencias que correspondem a tradecraft adversario conhecido. As regras sao frequentemente expressas em Sigma ou linguagens proprietarias e alinhadas com tecnicas MITRE ATT&CK como T1059 (Command and Scripting Interpreter) ou T1547 (Boot or Logon Autostart). NGAV e EDR de CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Cybereason e Elastic implementam detecao comportamental em tempo real. Ao contrario das assinaturas, apanha malware polimorfico, packed e fileless, mas exige telemetria rica (Sysmon, fluxos EDR, audit) e tuning cuidado para manter falsos positivos controlados.
● Exemplos
- 01
Regra de EDR que dispara quando o Word lanca PowerShell que descarrega de um IP externo — padrao classico de intrusao por macro.
- 02
Defender for Endpoint deteta credential dumping ao observar leituras de memoria do LSASS por um processo nao-sistema.
● Perguntas frequentes
O que é Detecao Comportamental?
Abordagem de detecao que identifica atividade maliciosa pelo comportamento em execucao de processos, utilizadores e fluxos de rede, em vez de assinaturas estaticas. Pertence à categoria Defesa e operações da cibersegurança.
O que significa Detecao Comportamental?
Abordagem de detecao que identifica atividade maliciosa pelo comportamento em execucao de processos, utilizadores e fluxos de rede, em vez de assinaturas estaticas.
Como funciona Detecao Comportamental?
A detecao comportamental observa o que o codigo faz num sistema — arvores de processos, relacoes pai-filho, chamadas a APIs, escritas em ficheiros e registo, destinos de rede, argumentos de linha de comando, criacao de tarefas agendadas — e sinaliza sequencias que correspondem a tradecraft adversario conhecido. As regras sao frequentemente expressas em Sigma ou linguagens proprietarias e alinhadas com tecnicas MITRE ATT&CK como T1059 (Command and Scripting Interpreter) ou T1547 (Boot or Logon Autostart). NGAV e EDR de CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, Cybereason e Elastic implementam detecao comportamental em tempo real. Ao contrario das assinaturas, apanha malware polimorfico, packed e fileless, mas exige telemetria rica (Sysmon, fluxos EDR, audit) e tuning cuidado para manter falsos positivos controlados.
Como se defender contra Detecao Comportamental?
As defesas contra Detecao Comportamental costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Detecao Comportamental?
Nomes alternativos comuns: Detecao baseada em comportamento, Analitica comportamental.
● Termos relacionados
- defense-ops№ 473
Detecao Heuristica
Metodo de detecao que usa indicadores heuristicos — padroes de codigo suspeitos, packers, strings anomalas, combinacoes de APIs — para sinalizar ficheiros provavelmente maliciosos sem assinatura exata.
- network-security№ 048
Detecção Baseada em Anomalias
Abordagem de detecção que estabelece uma linha de base de atividade normal e sinaliza desvios em relação a ela como potencialmente maliciosos.
- defense-ops№ 725
Antivirus de Proxima Geracao (NGAV)
Protecao de endpoint que complementa a deteccao por assinaturas com modelos de ML, analitica comportamental e prevencao de exploits para parar ameacas desconhecidas e fileless.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
- compliance№ 687
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.
- malware№ 417
Malware sem ficheiro
Malware que corre essencialmente em memória e tira partido de ferramentas legítimas do sistema, evitando executáveis tradicionais em disco.