Udostępnij za pośrednictwem

Demonstracje amsi z Ochrona punktu końcowego w usłudze Microsoft Defender

  • Artykuł

Dotyczy:

Ochrona punktu końcowego w usłudze Microsoft Defender korzysta z interfejsu amsi (Antimalware Scan Interface) w celu zwiększenia ochrony przed złośliwym oprogramowaniem bez plików, dynamicznymi atakami opartymi na skryptach i innymi nietradycyjnymi zagrożeniami cybernetycznymi. W tym artykule opisano sposób testowania aparatu AMSI z niegroźnym przykładem.

Wymagania i konfiguracja scenariusza

  • Windows 10 lub nowsze
  • Windows Server 2016 lub nowsze
  • Microsoft Defender program antywirusowy (jako podstawowy) i należy włączyć następujące funkcje:
    • ochrona Real-Time (RTP)
    • Monitorowanie zachowania (BM)
    • Włączanie skanowania skryptów

Testowanie interfejsu AMSI za pomocą usługi Defender for Endpoint

W tym artykule demonstracyjnym można przetestować interfejs AMSI z dwoma aparatami:

  • PowerShell
  • VBScript

Testowanie interfejsu AMSI za pomocą programu PowerShell

  1. Zapisz następujący skrypt programu PowerShell jako AMSI_PoSh_script.ps1:

    Zrzut ekranu przedstawiający skrypt programu PowerShell do zapisania jako AMSI_PoSh_script.ps1

  2. Na urządzeniu otwórz program PowerShell jako administrator.

  3. Wpisz ciąg Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1, a następnie naciśnij klawisz Enter.

    Wynik powinien wyglądać następująco:

    Zrzut ekranu przedstawiający wyniki przykładowego testu AMSI. Powinna ona wskazywać, że wykryto zagrożenie.

Testowanie interfejsu AMSI przy użyciu języka VBScript

  1. Zapisz następujący skrypt VBScript jako AMSI_vbscript.vbs:

    Zrzut ekranu przedstawiający skrypt VBScript do zapisania jako AMSI_vbscript.vbs

  2. Na urządzeniu z systemem Windows otwórz wiersz polecenia jako administrator.

  3. Wpisz ciąg wscript AMSI_vbscript.js, a następnie naciśnij klawisz Enter.

    Wynik powinien wyglądać następująco:

    Zrzut ekranu przedstawiający wyniki testów amsi. Powinno być widoczne, że oprogramowanie antywirusowe zablokowało skrypt.

Weryfikowanie wyników testu

W historii ochrony powinny być widoczne następujące informacje:

Zrzut ekranu przedstawiający wyniki testów amsi. Informacje powinny wskazywać, że zagrożenie zostało zablokowane i oczyszczone.

Uzyskiwanie listy zagrożeń programu antywirusowego Microsoft Defender

Wykryte zagrożenia można wyświetlić za pomocą dziennika zdarzeń lub programu PowerShell.

Korzystanie z dziennika zdarzeń

  1. Przejdź do pozycji Start i wyszukaj ciąg EventVwr.msc. Otwórz Podgląd zdarzeń na liście wyników.

  2. Przejdźdo obszaru Dzienniki aplikacji i usługzdarzeń operacyjnych> microsoft > Windows > Defender.

  3. Poszukaj event ID 1116. Powinny zostać wyświetlone następujące informacje:

    Zrzut ekranu przedstawiający identyfikator zdarzenia 1116 z informacją o wykryciu złośliwego oprogramowania lub niechcianego oprogramowania.

Korzystanie z programu PowerShell

  1. Na urządzeniu otwórz program PowerShell.

  2. Wpisz następujące polecenie: Get-MpThreat.

    Mogą zostać wyświetlone następujące wyniki:

    Zrzut ekranu przedstawiający wyniki polecenia Get-MpThreat. Powinno ono wskazywać, że wykryto zagrożenie amsi.

Zobacz też

Ochrona punktu końcowego w usłudze Microsoft Defender — scenariusze demonstracyjnych

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.