Jaa

AMSI-esittelyt Microsoft Defender for Endpoint kanssa

  • Artikkeli

Koskee seuraavia:

Microsoft Defender for Endpoint käyttää AMSI (Antimalware Scan Interface) -käyttöliittymää parantaakseen suojaa tiedostottomia haittaohjelmia, dynaamisia komentosarjapohjaisia hyökkäyksiä ja muita epätavanomaisia kyberuhkia vastaan. Tässä artikkelissa kuvataan, miten AMSI-moduulia testataan hyvänlaatuisella näytteellä.

Skenaariovaatimukset ja määritys

  • Windows 10 tai uudemmat
  • Windows Server 2016 tai uudempi
  • Microsoft Defender virustentorjuntaohjelma (ensisijaisena) ja seuraavat ominaisuudet on otettava käyttöön:
    • Real-Time Protection (RTP)
    • Toiminnan valvonta (BM)
    • Ota komentosarjojen tarkistus käyttöön

AMSI:n testaaminen Defenderin kanssa päätepistettä varten

Tässä esittelyartikkelissa on kaksi moduulivaihtoehtoa AMSI:n testaamiseen:

  • PowerShell
  • VBScript

AMSI-testi PowerShellin avulla

  1. Tallenna seuraava PowerShell-komentosarja nimellä AMSI_PoSh_script.ps1:

    Näyttökuva, jossa näkyy AMSI_PoSh_script.ps1tallennettava PowerShell-komentosarja

  2. Avaa PowerShell järjestelmänvalvojana laitteessasi.

  3. Kirjoita Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1ja paina sitten Enter-näppäintä.

    Tuloksen olisi oltava seuraava:

    Näyttökuva, jossa näkyvät AMSI-testimallin tulokset. Sen pitäisi osoittaa, että uhka havaittiin.

AMSI:n testaaminen VBScriptillä

  1. Tallenna seuraava VBScript muodossa AMSI_vbscript.vbs:

    Näyttökuva, jossa näkyy AMSI_vbscript.vbstallennettava VBScript

  2. Avaa Komentokehote järjestelmänvalvojana Windows-laitteessasi.

  3. Kirjoita wscript AMSI_vbscript.jsja paina sitten Enter-näppäintä.

    Tuloksen olisi oltava seuraava:

    Näyttökuva AMSI-testituloksista. Sen pitäisi osoittaa, että virustentorjuntaohjelma esti komentosarjan.

Testitulosten tarkistaminen

Suojaushistoriassa pitäisi näkyä seuraavat tiedot:

Näyttökuva AMSI-testituloksista. Tietojen pitäisi osoittaa, että uhka estettiin ja puhdistettiin.

Microsoft Defender virustentorjuntauhkien luettelon noutaminen

Voit tarkastella havaittuja uhkia käyttämällä tapahtumalokia tai PowerShelliä.

Tapahtumalokin käyttäminen

  1. Siirry Aloitus-kohtaan ja etsi kohdetta EventVwr.msc. Avaa Tapahtumienvalvonta tulosluettelossa.

  2. Siirry kohtaan Sovellukset ja palvelut KirjaaMicrosoft>Windows>Windows Defenderin toimintatapahtumat>.

  3. Etsi .event ID 1116 Sinun pitäisi nähdä seuraavat tiedot:

    Näyttökuva, jossa näkyy tapahtumatunnus 1116, jonka mukaan havaittiin haittaohjelmia tai ei-toivottuja ohjelmistoja.

PowerShellin käyttäminen

  1. Avaa PowerShell laitteessasi.

  2. Kirjoita seuraava komento: Get-MpThreat.

    Saatat nähdä seuraavat tulokset:

    Näyttökuva, joka näyttää Get-MpThreat komennon tulokset. Sen pitäisi osoittaa, että AMSI-uhka havaittiin.

Tutustu myös seuraaviin ohjeartikkeleihin:

Microsoft Defender for Endpoint – esittelyskenaariot

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.