Partilhar via


Demonstrações AMSI com Microsoft Defender para Endpoint

Aplica-se a:

Microsoft Defender para Endpoint utiliza a Interface de Análise Antimalware (AMSI) para melhorar a proteção contra software maligno sem ficheiros, ataques baseados em scripts dinâmicos e outras ameaças cibernéticas não tradicionais. Neste artigo, descrevemos como testar o motor AMSI com uma amostra benigna.

Requisitos de cenário e configuração

  • Windows 10 ou mais recente
  • Windows Server 2016 ou mais recente
  • Microsoft Defender Antivírus (como primário) e estas capacidades têm de estar ativadas:
    • Proteção Real-Time (RTP)
    • Monitorização de Comportamento (BM)
    • Ativar a análise de scripts

Testar AMSI com o Defender para Endpoint

Neste artigo de demonstração, tem duas opções de motor para testar a AMSI:

  • PowerShell
  • VBScript

Testar AMSI com o PowerShell

  1. Guarde o seguinte script do PowerShell como AMSI_PoSh_script.ps1:

    Captura de ecrã a mostrar o script do PowerShell para guardar como AMSI_PoSh_script.ps1

  2. No seu dispositivo, abra o PowerShell como administrador.

  3. Escreva Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1e, em seguida, prima Enter.

    O resultado deve ser o seguinte:

    Captura de ecrã a mostrar os resultados do exemplo de teste AMSI. Deve mostrar que foi detetada uma ameaça.

Testar AMSI com VBScript

  1. Guarde o VBScript seguinte como AMSI_vbscript.vbs:

    Captura de ecrã a mostrar o VBScript para guardar como AMSI_vbscript.vbs

  2. No seu Dispositivo Windows, abra a Linha de Comandos como administrador.

  3. Escreva wscript AMSI_vbscript.jse, em seguida, prima Enter.

    O resultado deve ser o seguinte:

    Captura de ecrã a mostrar os resultados do teste AMSI. Deve mostrar que o software antivírus bloqueou o script.

Verificar os resultados do teste

No histórico de proteção, deverá conseguir ver as seguintes informações:

Captura de ecrã a mostrar os resultados do teste AMSI. As informações devem mostrar que uma ameaça foi bloqueada e limpa.

Obter a lista de ameaças antivírus do Microsoft Defender

Pode ver as ameaças detetadas com o Registo de eventos ou o PowerShell.

Utilizar o Registo de eventos

  1. Aceda a Iniciar e procure EventVwr.msc. Abra Visualizador de Eventos na lista de resultados.

  2. Aceda a Registos de Aplicações e Serviços Eventos>operacionais doMicrosoft>Windows> Defender.

  3. Procure .event ID 1116 Deverá ver as seguintes informações:

    Captura de ecrã a mostrar o ID do Evento 1116, que indica que foi detetado software maligno ou software indesejável.

Utilizar o PowerShell
  1. No seu dispositivo, abra o PowerShell.

  2. Escreva o seguinte comando: Get-MpThreat.

    Poderá ver os seguintes resultados:

    Captura de ecrã a mostrar os resultados do comando Get-MpThreat. Deve mostrar que foi detetada uma ameaça AMSI.

Consulte também

Microsoft Defender para Endpoint - cenários de demonstração

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.