AMSI-bemutatók Végponthoz készült Microsoft Defender
Érintett szolgáltatás:
- Végponthoz készült Microsoft Defender 2. csomag
- Microsoft Defender Vállalati verzió
- Végponthoz készült Microsoft Defender 1. csomag
- Microsoft Defender víruskereső
Végponthoz készült Microsoft Defender a kártevőirtó vizsgálati felület (AMSI) segítségével fokozza a fájl nélküli kártevők, a dinamikus szkriptalapú támadások és más nem célzott kiberfenyegetések elleni védelmet. Ebben a cikkben azt ismertetjük, hogyan tesztelhető az AMSI-motor egy jóindulatú mintával.
Forgatókönyv követelményei és beállítása
- Windows 10 vagy újabb
- Windows Server 2016 vagy újabb
- Microsoft Defender víruskeresőt (elsődlegesként) és ezeket a képességeket engedélyezni kell:
- Real-Time Protection (RTP)
- Viselkedésfigyelés (BM)
- Szkriptvizsgálat bekapcsolása
AMSI tesztelése a Végponthoz készült Defenderrel
Ebben a bemutató cikkben két motor közül választhat az AMSI teszteléséhez:
- PowerShell-
- VBScript
AMSI tesztelése a PowerShell-lel
Mentse a következő PowerShell-szkriptet a következő néven
AMSI_PoSh_script.ps1
:Az eszközön nyissa meg a PowerShellt rendszergazdaként.
Írja be
Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1
, majd nyomja le az Enter billentyűt.Az eredménynek a következőnek kell lennie:
AMSI tesztelése VBScripttel
Mentse a következő VBScript-et a következőként
AMSI_vbscript.vbs
:Windows-eszközén rendszergazdaként nyissa meg a parancssort.
Írja be
wscript AMSI_vbscript.js
, majd nyomja le az Enter billentyűt.Az eredménynek a következőnek kell lennie:
A teszteredmények ellenőrzése
A védelmi előzményekben a következő információknak kell megjelennie:
A Microsoft Defender víruskereső fenyegetéseinek listájának lekérése
Az észlelt fenyegetéseket az Eseménynapló vagy a PowerShell használatával tekintheti meg.
Az eseménynapló használata
Nyissa meg a Start menüt, és keressen rá a kifejezésre
EventVwr.msc
. Nyissa meg eseménymegtekintő az eredmények listájában.Lépjen az Alkalmazások és szolgáltatások naplói>Microsoft>Windows>Windows Defender műveleti eseményekhez.
Keresse meg a következőt
event ID 1116
: . A következő információknak kell megjelennie:
A PowerShell használata
Nyissa meg az eszközön a PowerShellt.
Írja be a következő parancsot:
Get-MpThreat
.A következő eredmények jelenhetnek meg:
Lásd még
Végponthoz készült Microsoft Defender – bemutató forgatókönyvek
Tipp
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.