Megosztás a következőn keresztül:

AMSI-bemutatók Végponthoz készült Microsoft Defender

  • Cikk

Érintett szolgáltatás:

Végponthoz készült Microsoft Defender a kártevőirtó vizsgálati felület (AMSI) segítségével fokozza a fájl nélküli kártevők, a dinamikus szkriptalapú támadások és más nem célzott kiberfenyegetések elleni védelmet. Ebben a cikkben azt ismertetjük, hogyan tesztelhető az AMSI-motor egy jóindulatú mintával.

Forgatókönyv követelményei és beállítása

  • Windows 10 vagy újabb
  • Windows Server 2016 vagy újabb
  • Microsoft Defender víruskeresőt (elsődlegesként) és ezeket a képességeket engedélyezni kell:
    • Real-Time Protection (RTP)
    • Viselkedésfigyelés (BM)
    • Szkriptvizsgálat bekapcsolása

AMSI tesztelése a Végponthoz készült Defenderrel

Ebben a bemutató cikkben két motor közül választhat az AMSI teszteléséhez:

  • PowerShell-
  • VBScript

AMSI tesztelése a PowerShell-lel

  1. Mentse a következő PowerShell-szkriptet a következő néven AMSI_PoSh_script.ps1:

    Képernyőkép a AMSI_PoSh_script.ps1menteni kívánt PowerShell-szkriptről

  2. Az eszközön nyissa meg a PowerShellt rendszergazdaként.

  3. Írja be Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1, majd nyomja le az Enter billentyűt.

    Az eredménynek a következőnek kell lennie:

    Képernyőkép az AMSI-tesztminta eredményeiről. Azt kell mutatnia, hogy a rendszer fenyegetést észlelt.

AMSI tesztelése VBScripttel

  1. Mentse a következő VBScript-et a következőként AMSI_vbscript.vbs:

    Képernyőkép a AMSI_vbscript.vbsmenteni kívánt VBScriptről

  2. Windows-eszközén rendszergazdaként nyissa meg a parancssort.

  3. Írja be wscript AMSI_vbscript.js, majd nyomja le az Enter billentyűt.

    Az eredménynek a következőnek kell lennie:

    Képernyőkép az AMSI-teszt eredményeiről. Azt kell mutatnia, hogy a víruskereső szoftver letiltotta a szkriptet.

A teszteredmények ellenőrzése

A védelmi előzményekben a következő információknak kell megjelennie:

Képernyőkép az AMSI-teszt eredményeiről. Az információknak azt kell mutatniuk, hogy egy fenyegetést blokkoltak és megtisztítottak.

A Microsoft Defender víruskereső fenyegetéseinek listájának lekérése

Az észlelt fenyegetéseket az Eseménynapló vagy a PowerShell használatával tekintheti meg.

Az eseménynapló használata

  1. Nyissa meg a Start menüt, és keressen rá a kifejezésre EventVwr.msc. Nyissa meg eseménymegtekintő az eredmények listájában.

  2. Lépjen az Alkalmazások és szolgáltatások naplói>Microsoft>Windows>Windows Defender műveleti eseményekhez.

  3. Keresse meg a következőt event ID 1116: . A következő információknak kell megjelennie:

    Képernyőkép a 1116-os eseményazonosítóról, amely szerint a rendszer kártevőt vagy nemkívánatos szoftvert észlelt.

A PowerShell használata

  1. Nyissa meg az eszközön a PowerShellt.

  2. Írja be a következő parancsot: Get-MpThreat.

    A következő eredmények jelenhetnek meg:

    Képernyőkép a Get-MpThreat parancs eredményeiről. Azt kell mutatnia, hogy AMSI-fenyegetést észlelt a rendszer.

Lásd még

Végponthoz készült Microsoft Defender – bemutató forgatókönyvek

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.