Freigeben über

AMSI-Demonstrationen mit Microsoft Defender for Endpoint

  • Artikel

Gilt für:

Microsoft Defender for Endpoint nutzt das Antimalware Scan Interface (AMSI), um den Schutz vor dateiloser Schadsoftware, dynamischen skriptbasierten Angriffen und anderen nicht traditionellen Cyberbedrohungen zu verbessern. In diesem Artikel wird beschrieben, wie Sie die AMSI-Engine mit einer gutartigen Probe testen.

Szenarioanforderungen und Einrichtung

  • Windows 10 oder neuer
  • Windows Server 2016 oder höher
  • Microsoft Defender Antivirus (als primär) und diese Funktionen müssen aktiviert werden:
    • Real-Time Protection (RTP)
    • Verhaltensüberwachung (BM)
    • Aktivieren der Skriptüberprüfung

Testen von AMSI mit Defender für Endpunkt

In diesem Demoartikel haben Sie zwei Engine-Optionen zum Testen von AMSI:

  • PowerShell
  • VBScript

Testen von AMSI mit PowerShell

  1. Speichern Sie das folgende PowerShell-Skript als AMSI_PoSh_script.ps1:

    Screenshot: PowerShell-Skript zum Speichern als AMSI_PoSh_script.ps1

  2. Öffnen Sie PowerShell auf Ihrem Gerät als Administrator.

  3. Geben Sie Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1ein, und drücken Sie dann die Eingabetaste.

    Das Ergebnis sollte wie folgt aussehen:

    Screenshot: Ergebnisse des AMSI-Testbeispiels Es sollte angezeigt werden, dass eine Bedrohung erkannt wurde.

Testen von AMSI mit VBScript

  1. Speichern Sie das folgende VBScript als AMSI_vbscript.vbs:

    Screenshot: VBScript zum Speichern als AMSI_vbscript.vbs

  2. Öffnen Sie auf Ihrem Windows-Gerät die Eingabeaufforderung als Administrator.

  3. Geben Sie wscript AMSI_vbscript.jsein, und drücken Sie dann die Eingabetaste.

    Das Ergebnis sollte wie folgt aussehen:

    Screenshot: AMSI-Testergebnisse Es sollte angezeigt werden, dass Antivirensoftware das Skript blockiert.

Überprüfen der Testergebnisse

In Ihrem Schutzverlauf sollten die folgenden Informationen angezeigt werden:

Screenshot: AMSI-Testergebnisse Die Informationen sollten zeigen, dass eine Bedrohung blockiert und bereinigt wurde.

Abrufen der Liste der Microsoft Defender Antivirus-Bedrohungen

Sie können erkannte Bedrohungen mithilfe des Ereignisprotokolls oder mithilfe von PowerShell anzeigen.

Verwenden des Ereignisprotokolls

  1. Wechseln Sie zu Start, und suchen Sie nach EventVwr.msc. Öffnen Sie Ereignisanzeige in der Ergebnisliste.

  2. Wechseln Sie zu Anwendungen und Dienste Protokolle>Microsoft>Windows>Windows Defender-Betriebsereignisse.

  3. event ID 1116Suchen Sie nach . Die folgenden Informationen sollten angezeigt werden:

    Screenshot der Ereignis-ID 1116, die besagt, dass Schadsoftware oder unerwünschte Software erkannt wurde.

PowerShell verwenden

  1. Öffnen Sie PowerShell auf Ihrem Gerät.

  2. Geben Sie den folgenden Befehl ein: Get-MpThreat.

    Möglicherweise werden die folgenden Ergebnisse angezeigt:

    Screenshot: Ergebnisse des Befehls

Siehe auch

Microsoft Defender for Endpoint : Demonstrationsszenarien

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.