Compartir a través de

Demostraciones de AMSI con Microsoft Defender para punto de conexión

  • Artículo

Se aplica a:

Microsoft Defender para punto de conexión utiliza la interfaz de examen antimalware (AMSI) para mejorar la protección contra malware sin archivos, ataques dinámicos basados en scripts y otras ciberamenazas no tradicionales. En este artículo, se describe cómo probar el motor de AMSI con una muestra benigna.

Requisitos y configuración del escenario

  • Windows 10 o posterior
  • Windows Server 2016 o una versión más reciente
  • Microsoft Defender Antivirus (como principal) y estas funcionalidades deben estar habilitadas:
    • Protección Real-Time (RTP)
    • Supervisión del comportamiento (BM)
    • Activar el examen de scripts

Prueba de AMSI con Defender para punto de conexión

En este artículo de demostración, tiene dos opciones de motor para probar AMSI:

  • PowerShell
  • VBScript

Prueba de AMSI con PowerShell

  1. Guarde el siguiente script de PowerShell como AMSI_PoSh_script.ps1:

    Captura de pantalla que muestra el script de PowerShell para guardar como AMSI_PoSh_script.ps1

  2. En el dispositivo, abra PowerShell como administrador.

  3. Escriba Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1y presione Entrar.

    El resultado debe ser el siguiente:

    Captura de pantalla que muestra los resultados del ejemplo de prueba de AMSI. Debe mostrar que se detectó una amenaza.

Prueba de AMSI con VBScript

  1. Guarde el siguiente VBScript como AMSI_vbscript.vbs:

    Captura de pantalla que muestra VBScript para guardar como AMSI_vbscript.vbs

  2. En el dispositivo Windows, abra el símbolo del sistema como administrador.

  3. Escriba wscript AMSI_vbscript.jsy presione Entrar.

    El resultado debe ser el siguiente:

    Captura de pantalla que muestra los resultados de las pruebas de AMSI. Debe mostrar que el software antivirus bloqueó el script.

Comprobación de los resultados de la prueba

En el historial de protección, debería poder ver la siguiente información:

Captura de pantalla que muestra los resultados de las pruebas de AMSI. La información debe mostrar que se ha bloqueado y limpiado una amenaza.

Obtener la lista de amenazas Microsoft Defender Antivirus

Puede ver las amenazas detectadas mediante el registro de eventos o PowerShell.

Uso del registro de eventos

  1. Vaya a Inicio y busque EventVwr.msc. Abra Visor de eventos en la lista de resultados.

  2. Vaya a Registros de aplicaciones y servicios>Eventos operativos deMicrosoft>Windows> Defender.

  3. Busque event ID 1116. Debería ver la siguiente información:

    Captura de pantalla que muestra el identificador de evento 1116, que indica que se detectó malware o software no deseado.

Usar PowerShell

  1. En el dispositivo, abra PowerShell.

  2. Escriba el siguiente comando: Get-MpThreat.

    Es posible que vea los siguientes resultados:

    Captura de pantalla que muestra los resultados del comando Get-MpThreat. Debe mostrar que se detectó una amenaza de AMSI.

Recursos adicionales

Microsoft Defender para punto de conexión: escenarios de demostración

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.