Поделиться через

Демонстрации AMSI с Microsoft Defender для конечной точки

  • Статья

Область применения:

Microsoft Defender для конечной точки использует интерфейс проверки антивредоносных программ (AMSI) для повышения защиты от вредоносных программ без файлов, динамических атак на основе скриптов и других нетрадиционных киберугроз. В этой статье описано, как протестировать подсистему AMSI с помощью некачественного примера.

Требования к сценарию и настройка

  • Windows 10 или более поздней версии
  • Windows Server 2016 или более поздней версии
  • Microsoft Defender антивирусную программу (в качестве основной) и необходимо включить следующие возможности:
    • Защита Real-Time (RTP)
    • Мониторинг поведения (BM)
    • Включение сканирования скриптов

Тестирование AMSI с помощью Defender для конечной точки

В этой демонстрационной статье вы можете протестировать AMSI двумя способами:

  • PowerShell
  • VBScript

Тестирование AMSI с помощью PowerShell

  1. Сохраните следующий сценарий PowerShell как AMSI_PoSh_script.ps1:

    Снимок экрана: сценарий PowerShell для сохранения как AMSI_PoSh_script.ps1

  2. На устройстве откройте PowerShell от имени администратора.

  3. Введите Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1, а затем нажмите клавишу ВВОД.

    Результат должен выглядеть следующим образом:

    Снимок экрана: результаты теста AMSI. Он должен показать, что угроза обнаружена.

Тестирование AMSI с помощью VBScript

  1. Сохраните следующий VBScript как AMSI_vbscript.vbs:

    Снимок экрана: VBScript для сохранения как AMSI_vbscript.vbs

  2. На устройстве Windows откройте командную строку от имени администратора.

  3. Введите wscript AMSI_vbscript.js, а затем нажмите клавишу ВВОД.

    Результат должен выглядеть следующим образом:

    Снимок экрана: результаты теста AMSI. Должно отобразиться, что антивирусная программа заблокировала сценарий.

Проверка результатов теста

В журнале защиты должны отображаться следующие сведения:

Снимок экрана: результаты теста AMSI. В этой информации должно быть показано, что угроза была заблокирована и очищена.

Получение списка угроз антивирусной программы Microsoft Defender

Вы можете просмотреть обнаруженные угрозы с помощью журнала событий или PowerShell.

Использование журнала событий

  1. Перейдите в меню Пуск и найдите EventVwr.msc. Откройте Просмотр событий в списке результатов.

  2. Перейдите в раздел Приложения и службы Журналы операционных>>событий MicrosoftWindows> Defender.

  3. event ID 1116Найдите . Вы должны увидеть следующие сведения:

    Снимок экрана: событие с идентификатором 1116, на котором говорится, что обнаружена вредоносная программа или нежелательное программное обеспечение.

Воспользуйтесь PowerShell

  1. На устройстве откройте PowerShell.

  2. Введите следующую команду: Get-MpThreat.

    Вы можете увидеть следующие результаты:

    Снимок экрана: результаты команды Get-MpThreat. В нем должно быть показано, что обнаружена угроза AMSI.

См. также

Microsoft Defender для конечной точки — демонстрационные сценарии

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.