Como confirmar a injeção ENS AMSI (Antimalware Scan Interface) em processos
Última modificação: 31/07/2023
Aviso de isenção de responsabilidade
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas:
Veja como um ecossistema XDR que está sempre se adaptando pode energizar sua empresa.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
Faça download do relatório Magic Quadrant, que avalia os 19 fornecedores com base na capacidade de execução e na abrangência de visão.
De acordo com a Gartner, “o XDR é uma tecnologia emergente que pode oferecer melhor prevenção, detecção e resposta a ameaças”.
Quais ameaças à segurança cibernética devem estar no radar das empresas em 2022?
A indústria da segurança cibernética nunca descansa, e não há melhor momento do que agora para enxergar isso como uma vantagem e um catalisador para o empoderamento dos negócios.
Duas líderes confiáveis em segurança cibernética se uniram para criar um mundo digital resiliente.
O CEO da Trellix, Bryan Palma, explica a necessidade crítica por uma segurança que está sempre aprendendo.
As of May 14, 2024, Knowledge Base (KB) articles will only be published and updated in our new Trellix Thrive Knowledge space.
Log in to the Thrive Portal using your OKTA credentials and start searching the new space. Legacy KB IDs are indexed and you will be able to find them easily just by typing the legacy KB ID.
Como confirmar a injeção ENS AMSI (Antimalware Scan Interface) em processos
Artigos técnicos ID:
KB94627
Última modificação: 31/07/2023 Ambiente
Plataforma de proteção de endpoint Endpoint Security (ENS) Adaptive Threat Protection (ATP) 10.x ENS Threat Prevention 10.x Microsoft Windows 11, 10 Microsoft Windows Server 2022, 2019, 2016 Resumo
Para confirmar se as exclusões do Antimalware Scan Interface (AMSI) estão funcionando conforme o esperado: Verifique se o AMSI está sendo carregado em um processo: Para verificar em quais processos o AMSI
Para confirmar se um processo já em execução antes do início do monitor de processo é injetado:
Informações relacionadas
Para um teste de bloco AMSI, consulte KB59742 - Como usar o arquivo de teste EICAR com nossos produtos. Para executar um teste de bloco AMSI no Windows Defender:
O provedor de antimalware pode retornar um resultado entre 1 e 32767, inclusive, como um nível de risco estimado. Quanto maior o resultado, mais arriscado continuar com o conteúdo. Esses valores são específicos do provedor e podem indicar uma família ou ID de malware. Qualquer resultado total igual ou superior a 32768 é considerado malware e o conteúdo bloqueado. Um aplicativo deve usar AMSI_RESULT_NOT_DETECTED = 1 AMSI_RESULT_BLOCKED_BY_ADMIN_START = 16384 AMSI_RESULT_BLOCKED_BY_ADMIN_END = 20479 AMSI_RESULT_DETECTED = 32768 Portanto, pesquise os logs do ENS usando a string 32768 para destacar possíveis blocos AMSI. A visibilidade dos eventos gerados pela Antimalware Scan Interface (AMSI) pode ser limitada. As etapas a seguir fornecem um mecanismo de log AMSI:
Script para testar
Aviso de isenção de responsabilidadeO conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetadosIdiomas:Este artigo está disponível nos seguintes idiomas: |
|