Aracılığıyla paylaş

Uç Nokta için Microsoft Defender ile AMSI tanıtımları

  • Makale

Şunlar için geçerlidir:

Uç Nokta için Microsoft Defender, dosyasız kötü amaçlı yazılımlara, dinamik betik tabanlı saldırılara ve diğer geleneksel olmayan siber tehditlere karşı korumayı geliştirmek için Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimini (AMSI) kullanır. Bu makalede AMSI altyapısını iyi huylu bir örnekle test etme adımları açıklanmaktadır.

Senaryo gereksinimleri ve kurulumu

  • Windows 10 veya daha yenisi
  • Windows Server 2016 veya daha yenisi
  • Microsoft Defender Virüsten Koruma (birincil olarak) ve bu özelliklerin etkinleştirilmesi gerekir:
    • Real-Time Koruması (RTP)
    • Davranış İzleme (BM)
    • Betik taramayı açma

Uç Nokta için Defender ile AMSI'i test etme

Bu tanıtım makalesinde, AMSI'yi test etmek için iki altyapı seçeneğiniz vardır:

  • PowerShell
  • VBScript

AMSI'i PowerShell ile test edin

  1. Aşağıdaki PowerShell betiğini olarak AMSI_PoSh_script.ps1kaydedin:

    AMSI_PoSh_script.ps1olarak kaydedilecek PowerShell betiğini gösteren ekran görüntüsü

  2. Cihazınızda PowerShell'i yönetici olarak açın.

  3. Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1 yazın ve ardından Enter'a basın.

    Sonuç aşağıdaki gibi olmalıdır:

    AMSI test örneğinin sonuçlarını gösteren ekran görüntüsü. Bir tehdit algılandığını göstermelidir.

AMSI'i VBScript ile test etme

  1. Aşağıdaki VBScript'i olarak AMSI_vbscript.vbskaydedin:

    AMSI_vbscript.vbsolarak kaydedilecek VBScript'i gösteren ekran görüntüsü

  2. Windows Cihazınızda Yönetici olarak Komut İstemi'ni açın.

  3. wscript AMSI_vbscript.js yazın ve ardından Enter'a basın.

    Sonuç aşağıdaki gibi olmalıdır:

    AMSI test sonuçlarını gösteren ekran görüntüsü. Virüsten koruma yazılımının betiği engellediği gösterilmelidir.

Test sonuçlarını doğrulama

Koruma geçmişinizde aşağıdaki bilgileri görebilmeniz gerekir:

AMSI test sonuçlarını gösteren ekran görüntüsü. Bilgiler, bir tehdidin engellendiğini ve temizlendiğini göstermelidir.

Microsoft Defender Virüsten Koruma tehditlerinin listesini alma

Olay günlüğünü veya PowerShell'i kullanarak algılanan tehditleri görüntüleyebilirsiniz.

Olay günlüğünü kullanma

  1. Başlangıç'a gidin ve öğesini arayınEventVwr.msc. Sonuç listesinde Olay Görüntüleyicisi açın.

  2. Microsoft>Windows Windows>Defender işletimsel olaylarıiçin Uygulama ve Hizmet Günlükleri'ne> gidin.

  3. öğesini arayın event ID 1116. Aşağıdaki bilgileri görmeniz gerekir:

    Kötü amaçlı yazılım veya istenmeyen yazılım algılandığını belirten Olay Kimliği 1116'yı gösteren ekran görüntüsü.

PowerShell kullanma

  1. Cihazınızda PowerShell'i açın.

  2. Aşağıdaki komutu yazın: Get-MpThreat.

    Aşağıdaki sonuçları görebilirsiniz:

    Get-MpThreat komutunun sonuçlarını gösteren ekran görüntüsü. Bir AMSI tehdidi algılandığını göstermelidir.

Ayrıca bkz.

Uç Nokta için Microsoft Defender - tanıtım senaryoları

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.