Sdílet prostřednictvím

Ukázky AMSI s Microsoft Defender for Endpoint

  • Článek

Platí pro:

Microsoft Defender for Endpoint využívá rozhraní AMSI (Antimalware Scan Interface) k vylepšení ochrany proti malwaru bez souborů, útokům založeným na dynamických skriptech a dalším netradičním kybernetickým hrozbám. V tomto článku popisujeme, jak otestovat modul AMSI s neškodným vzorkem.

Požadavky a nastavení scénáře

  • Windows 10 nebo novější
  • Windows Server 2016 nebo novější
  • Microsoft Defender antivirové ochrany (jako primární) a je potřeba povolit tyto funkce:
    • Real-Time Protection (RTP)
    • Monitorování chování (BM)
    • Zapnutí kontroly skriptů

Testování AMSI pomocí Defenderu for Endpoint

V tomto ukázkovém článku máte dvě možnosti modulu pro testování AMSI:

  • PowerShell
  • VBScript

Testování AMSI pomocí PowerShellu

  1. Uložte následující skript PowerShellu jako AMSI_PoSh_script.ps1:

    Snímek obrazovky znázorňující skript PowerShellu pro uložení jako AMSI_PoSh_script.ps1

  2. Na svém zařízení otevřete PowerShell jako správce.

  3. Napište Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1a stiskněte Enter.

    Výsledek by měl být následující:

    Snímek obrazovky s výsledky ukázky testu AMSI Mělo by se zobrazit, že byla zjištěna hrozba.

Testování AMSI pomocí jazyka VBScript

  1. Uložte následující VBScript jako AMSI_vbscript.vbs:

    Snímek obrazovky zobrazující uložení VBScriptu jako AMSI_vbscript.vbs

  2. Na zařízení s Windows otevřete příkazový řádek jako správce.

  3. Napište wscript AMSI_vbscript.jsa stiskněte Enter.

    Výsledek by měl být následující:

    Snímek obrazovky s výsledky testu AMSI Mělo by se zobrazit, že skript zablokoval antivirový software.

Ověření výsledků testu

V historii ochrany byste měli vidět následující informace:

Snímek obrazovky s výsledky testu AMSI Informace by měly ukazovat, že se hrozba zablokovala a vyčistila.

Získání seznamu Microsoft Defender antivirových hrozeb

Zjištěné hrozby můžete zobrazit pomocí protokolu událostí nebo PowerShellu.

Použití protokolu událostí

  1. Přejděte na Start a vyhledejte EventVwr.msc. Otevřete Prohlížeč událostí v seznamu výsledků.

  2. Přejděte na Aplikace a služby Protokoly>provozních událostíprogramu Microsoft>Windows> Defender.

  3. Vyhledejte event ID 1116. Měly by se zobrazit následující informace:

    Snímek obrazovky s ID události 1116 s informací, že byl zjištěn malware nebo nežádoucí software

Použití PowerShellu

  1. Na zařízení otevřete PowerShell.

  2. Zadejte následující příkaz: Get-MpThreat.

    Můžou se zobrazit následující výsledky:

    Snímek obrazovky s výsledky příkazu Get-MpThreat Mělo by se zobrazit, že byla zjištěna hrozba AMSI.

Viz také

Microsoft Defender for Endpoint – ukázkové scénáře

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.