Partager via

Démonstrations AMSI avec Microsoft Defender pour point de terminaison

  • Article

S’applique à :

Microsoft Defender pour point de terminaison utilise l’interface AMSI (Antimalware Scan Interface) pour améliorer la protection contre les programmes malveillants sans fichier, les attaques dynamiques basées sur des scripts et d’autres cybermenaces non traditionnelles. Dans cet article, nous décrivons comment tester le moteur AMSI avec un échantillon bénin.

Configuration requise et configuration du scénario

  • Windows 10 ou version ultérieure
  • Windows Server 2016 ou version plus récente
  • Microsoft Defender Antivirus (en tant que principal) et ces fonctionnalités doivent être activées :
    • Real-Time Protection (RTP)
    • Surveillance du comportement (BM)
    • Activer l’analyse des scripts

Test d’AMSI avec Defender pour point de terminaison

Dans cet article de démonstration, vous avez deux choix de moteur pour tester AMSI :

  • PowerShell
  • VBScript

Tester AMSI avec PowerShell

  1. Enregistrez le script PowerShell suivant sous AMSI_PoSh_script.ps1:

    Capture d’écran montrant le script PowerShell à enregistrer en tant que AMSI_PoSh_script.ps1

  2. Sur votre appareil, ouvrez PowerShell en tant qu’administrateur.

  3. Tapez Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1, puis appuyez sur Entrée.

    Le résultat doit être le suivant :

    Capture d’écran montrant les résultats de l’exemple de test AMSI. Il doit indiquer qu’une menace a été détectée.

Test d’AMSI avec VBScript

  1. Enregistrez le code VBScript suivant sous AMSI_vbscript.vbs:

    Capture d’écran montrant VBScript à enregistrer en tant que AMSI_vbscript.vbs

  2. Sur votre appareil Windows, ouvrez l’invite de commandes en tant qu’administrateur.

  3. Tapez wscript AMSI_vbscript.js, puis appuyez sur Entrée.

    Le résultat doit être le suivant :

    Capture d’écran montrant les résultats du test AMSI. Il doit indiquer que le logiciel antivirus a bloqué le script.

Vérification des résultats des tests

Dans votre historique de protection, vous devez être en mesure de voir les informations suivantes :

Capture d’écran montrant les résultats du test AMSI. Les informations doivent indiquer qu’une menace a été bloquée et nettoyée.

Obtenir la liste des menaces antivirus Microsoft Defender

Vous pouvez afficher les menaces détectées à l’aide du journal des événements ou de PowerShell.

Utiliser le journal des événements

  1. Accédez à Démarrer, puis recherchez EventVwr.msc. Ouvrez observateur d'événements dans la liste des résultats.

  2. Accédez à Applications et services Journaux>d’événements opérationnelsMicrosoft>Windows> Defender.

  3. Recherchez event ID 1116. Les informations suivantes doivent s’afficher :

    Capture d’écran montrant l’ID d’événement 1116, qui indique que des logiciels malveillants ou indésirables ont été détectés.

Utiliser PowerShell

  1. Sur votre appareil, ouvrez PowerShell.

  2. Tapez la commande suivante : Get-MpThreat.

    Vous pouvez voir les résultats suivants :

    Capture d’écran montrant les résultats de la commande Get-MpThreat. Il doit indiquer qu’une menace AMSI a été détectée.

Voir aussi

Microsoft Defender pour point de terminaison - scénarios de démonstration

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.