Delen via

AMSI-demonstraties met Microsoft Defender voor Eindpunt

  • Artikel

Van toepassing op:

Microsoft Defender voor Eindpunt maakt gebruik van de Antimalware Scan Interface (AMSI) om de beveiliging tegen bestandsloze malware, dynamische scriptgebaseerde aanvallen en andere niet-traditionele cyberbedreigingen te verbeteren. In dit artikel wordt beschreven hoe u de AMSI-engine kunt testen met een goedaardig voorbeeld.

Scenariovereisten en installatie

  • Windows 10 of nieuwer
  • Windows Server 2016 of hoger
  • Microsoft Defender Antivirus (als primair) en deze mogelijkheden moeten worden ingeschakeld:
    • Real-Time Protection (RTP)
    • Gedragscontrole (BM)
    • Scriptscans inschakelen

AMSI testen met Defender voor Eindpunt

In dit demonstratieartikel hebt u twee motorkeuzen om AMSI te testen:

  • PowerShell
  • VBScript

AMSI testen met PowerShell

  1. Sla het volgende PowerShell-script op als AMSI_PoSh_script.ps1:

    Schermopname van het PowerShell-script dat moet worden opgeslagen als AMSI_PoSh_script.ps1

  2. Open PowerShell op uw apparaat als beheerder.

  3. Typ Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1en druk vervolgens op Enter.

    Het resultaat moet er als volgt uitzien:

    Schermopname van de resultaten van het AMSI-testvoorbeeld. Er moet worden opgegeven dat er een bedreiging is gedetecteerd.

AMSI testen met VBScript

  1. Sla de volgende VBScript op als AMSI_vbscript.vbs:

    Schermopname van VBScript om op te slaan als AMSI_vbscript.vbs

  2. Open opdrachtprompt op uw Windows-apparaat als beheerder.

  3. Typ wscript AMSI_vbscript.jsen druk vervolgens op Enter.

    Het resultaat moet er als volgt uitzien:

    Schermopname van de AMSI-testresultaten. Het moet laten zien dat antivirussoftware het script heeft geblokkeerd.

De testresultaten controleren

In uw beveiligingsgeschiedenis moet u de volgende informatie kunnen zien:

Schermopname van de AMSI-testresultaten. Uit de informatie moet blijken dat een bedreiging is geblokkeerd en opgeschoond.

De lijst met Microsoft Defender Antivirus-bedreigingen ophalen

U kunt gedetecteerde bedreigingen bekijken met behulp van het gebeurtenislogboek of PowerShell.

Het gebeurtenislogboek gebruiken

  1. Ga naar Start en zoek EventVwr.mscnaar . Open Logboeken in de lijst met resultaten.

  2. Ga naar Toepassings- en serviceslogboeken> Operationele gebeurtenissen vanMicrosoft>Windows>Windows Defender.

  3. event ID 1116Zoek naar . U ziet nu de volgende informatie:

    Schermopname van gebeurtenis-id 1116, waarin staat dat er malware of ongewenste software is gedetecteerd.

PowerShell gebruiken

  1. Open PowerShell op uw apparaat.

  2. Typ de volgende opdracht: Get-MpThreat.

    Mogelijk ziet u de volgende resultaten:

    Schermopname van de resultaten van de opdracht Get-MpThreat. Er moet worden aangegeven dat er een AMSI-bedreiging is gedetecteerd.

Zie ook

Microsoft Defender voor Eindpunt - demonstratiescenario's

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.