Condividi tramite

Dimostrazioni AMSI con Microsoft Defender per endpoint

  • Articolo

Si applica a:

Microsoft Defender per endpoint utilizza l'interfaccia AMSI (Antimalware Scan Interface) per migliorare la protezione da malware senza file, attacchi dinamici basati su script e altre minacce informatiche non tradizionali. In questo articolo viene descritto come testare il motore AMSI con un esempio non dannoso.

Requisiti e configurazione dello scenario

  • Windows 10 o versioni successive
  • Windows Server 2016 o versioni successive
  • Microsoft Defender Antivirus (come primario) e queste funzionalità devono essere abilitate:
    • protezione Real-Time (RTP)
    • Monitoraggio del comportamento (BM)
    • Attivare l'analisi degli script

Test di AMSI con Defender per endpoint

In questo articolo dimostrativo sono disponibili due opzioni del motore per testare AMSI:

  • PowerShell
  • VBScript

Testare AMSI con PowerShell

  1. Salvare lo script di PowerShell seguente come AMSI_PoSh_script.ps1:

    Screenshot che mostra lo script di PowerShell da salvare come AMSI_PoSh_script.ps1

  2. Nel dispositivo aprire PowerShell come amministratore.

  3. Digitare Powershell -ExecutionPolicy Bypass AMSI_PoSh_script.ps1, quindi premere INVIO.

    Il risultato dovrebbe essere il seguente:

    Screenshot che mostra i risultati dell'esempio di test AMSI. Dovrebbe mostrare che è stata rilevata una minaccia.

Test di AMSI con VBScript

  1. Salvare il codice VBScript seguente come AMSI_vbscript.vbs:

    Screenshot che mostra VBScript da salvare come AMSI_vbscript.vbs

  2. Nel dispositivo Windows aprire prompt dei comandi come amministratore.

  3. Digitare wscript AMSI_vbscript.js, quindi premere INVIO.

    Il risultato dovrebbe essere il seguente:

    Screenshot che mostra i risultati del test AMSI. Dovrebbe mostrare che il software antivirus ha bloccato lo script.

Verifica dei risultati del test

Nella cronologia di protezione dovrebbe essere possibile visualizzare le informazioni seguenti:

Screenshot che mostra i risultati del test AMSI. Le informazioni devono indicare che una minaccia è stata bloccata e pulita.

Ottenere l'elenco delle minacce antivirus Microsoft Defender

È possibile visualizzare le minacce rilevate usando il registro eventi o PowerShell.

Usare il registro eventi

  1. Passare a Start e cercare EventVwr.msc. Aprire Visualizzatore eventi nell'elenco dei risultati.

  2. Passare a Registri> applicazioni e serviziEventi operativi di Microsoft >Windows> Defender.

  3. Cercare event ID 1116. Verranno visualizzate le informazioni seguenti:

    Screenshot che mostra l'ID evento 1116, che indica che è stato rilevato malware o software indesiderato.

Usare PowerShell.

  1. Nel dispositivo aprire PowerShell.

  2. Digitare il comando seguente: Get-MpThreat.

    È possibile che vengano visualizzati i risultati seguenti:

    Screenshot che mostra i risultati del comando Get-MpThreat. Dovrebbe mostrare che è stata rilevata una minaccia AMSI.

Vedere anche

Microsoft Defender per endpoint - Scenari dimostrativi

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.