Demonstrações AMSI com Microsoft Defender para Endpoint
Aplica-se a:
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender para Empresas
- API do Microsoft Defender para Endpoint 1
- Antivírus do Microsoft Defender
Microsoft Defender para Endpoint utiliza a Interface de Análise Antimalware (AMSI) para melhorar a proteção contra software maligno sem ficheiros, ataques baseados em scripts dinâmicos e outras ameaças cibernéticas não tradicionais. Neste artigo, descrevemos como testar o motor AMSI com uma amostra benigna.
Requisitos de cenário e configuração
- Windows 10 ou mais recente
- Windows Server 2016 ou mais recente
- Microsoft Defender Antivírus (como primário) e estas capacidades têm de estar ativadas:
- Proteção Real-Time (RTP)
- Monitorização de Comportamento (BM)
- Ativar a análise de scripts
Testar AMSI com o Defender para Endpoint
Neste artigo de demonstração, tem duas opções de motor para testar a AMSI:
- PowerShell
- VBScript
Testar AMSI com o PowerShell
Guarde o seguinte script do PowerShell como
AMSI_PoSh_script.ps1
:No seu dispositivo, abra o PowerShell como administrador.
Escreva
Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1
e, em seguida, prima Enter.O resultado deve ser o seguinte:
Testar AMSI com VBScript
Guarde o VBScript seguinte como
AMSI_vbscript.vbs
:No seu Dispositivo Windows, abra a Linha de Comandos como administrador.
Escreva
wscript AMSI_vbscript.js
e, em seguida, prima Enter.O resultado deve ser o seguinte:
Verificar os resultados do teste
No histórico de proteção, deverá conseguir ver as seguintes informações:
Obter a lista de ameaças antivírus do Microsoft Defender
Pode ver as ameaças detetadas com o Registo de eventos ou o PowerShell.
Utilizar o Registo de eventos
Aceda a Iniciar e procure
EventVwr.msc
. Abra Visualizador de Eventos na lista de resultados.Aceda a Registos de Aplicações e Serviços Eventos>operacionais doMicrosoft>Windows> Defender.
Procure .
event ID 1116
Deverá ver as seguintes informações:
Utilizar o PowerShell
No seu dispositivo, abra o PowerShell.
Escreva o seguinte comando:
Get-MpThreat
.Poderá ver os seguintes resultados:
Consulte também
Microsoft Defender para Endpoint - cenários de demonstração
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.