次の方法で共有

Microsoft Defender for Endpointを使用した AMSI デモンストレーション

  • [アーティクル]

適用対象:

Microsoft Defender for Endpointはマルウェア対策スキャン インターフェイス (AMSI) を利用して、ファイルレスマルウェア、動的スクリプトベースの攻撃、およびその他の非伝統的なサイバー脅威に対する保護を強化します。 この記事では、良性のサンプルを使用して AMSI エンジンをテストする方法について説明します。

シナリオの要件とセットアップ

  • Windows 10 以降
  • Windows Server 2016以降
  • Microsoft Defenderウイルス対策 (プライマリ) とこれらの機能を有効にする必要があります。
    • Real-Time Protection (RTP)
    • 動作監視 (BM)
    • スクリプト スキャンを有効にする

Defender for Endpoint を使用した AMSI のテスト

このデモ記事では、AMSI をテストするための 2 つのエンジンの選択肢があります。

  • PowerShell
  • VBScript

PowerShell を使用して AMSI をテストする

  1. 次の PowerShell スクリプトを AMSI_PoSh_script.ps1として保存します。

    AMSI_PoSh_script.ps1として保存する PowerShell スクリプトを示すスクリーンショット

  2. デバイスで、管理者として PowerShell を開きます。

  3. Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1」と入力して、Enter キーを押します。

    結果は次のようになります。

    AMSI テスト サンプルの結果を示すスクリーンショット。脅威が検出されたことを示すはずです。

VBScript を使用した AMSI のテスト

  1. 次の VBScript を AMSI_vbscript.vbsとして保存します。

    AMSI_vbscript.vbsとして保存する VBScript を示すスクリーンショット

  2. Windows デバイスで、管理者としてコマンド プロンプトを開きます。

  3. wscript AMSI_vbscript.js」と入力して、Enter キーを押します。

    結果は次のようになります。

    AMSI テスト結果を示すスクリーンショット。ウイルス対策ソフトウェアがスクリプトをブロックしたことを示すはずです。

テスト結果の確認

保護履歴には、次の情報が表示されます。

AMSI テスト結果を示すスクリーンショット。この情報は、脅威がブロックされ、クリーンアップされたことを示す必要があります。

Microsoft Defenderウイルス対策の脅威の一覧を取得する

検出された脅威は、イベント ログまたは PowerShell を使用して表示できます。

イベント ログを使用する

  1. [スタート] に移動し、EventVwr.mscを検索します。 結果の一覧でイベント ビューアーを開きます。

  2. [アプリケーションとサービス のログ>Microsoft>Windows>Windows Defender の運用イベント] に移動します。

  3. event ID 1116を探します。 次の情報が表示されます。

    マルウェアまたは不要なソフトウェアが検出されたことを示すイベント ID 1116 を示すスクリーンショット。

PowerShell を使う

  1. デバイスで PowerShell を開きます。

  2. 次のコマンドを入力します: Get-MpThreat

    次の結果が表示される場合があります。

    Get-MpThreat コマンドの結果を示すスクリーンショット。AMSI の脅威が検出されたことを示すはずです。

関連項目

Microsoft Defender for Endpoint - デモンストレーション シナリオ

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。