如何确认 ENS AMSI (恶意软件扫描界面)注入到进程中
技术文章 ID:
KB94627
上次修改时间: 2023-04-13 13:07:16 Etc/GMT
上次修改时间: 2023-04-13 13:07:16 Etc/GMT
免责声明
本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
了解不断适应的 XDR 生态系统如何为您的企业赋能。
Trellix 首席执行官 Bryan Palma 解释称,现在亟需能够不断学习的安全防护。
下载 Magic Quadrant 报告,该报告根据执行能力和愿景完成情况,对 19 家供应商进行了评估。
Gartner 报告称,“XDR 是一种新兴技术,可以提供增强的威胁防护、检测和响应。”
企业在 2022 年应警惕哪些网络安全威胁?
网络安全行业绝不是一潭死水,而是危机不断,现在便是接受这一全新安全防护理念,将其转化为自身优势,为企业赋能的最佳时机。
网络安全领域备受信赖的两大领导者携手打造弹性化的数字世界。
Trellix 首席执行官 Bryan Palma 解释称,现在亟需能够不断学习的安全防护。
如何确认 ENS AMSI (恶意软件扫描界面)注入到进程中
技术文章 ID:
KB94627
上次修改时间: 2023-04-13 13:07:16 Etc/GMT 环境
Endpoint Security (ENS)自适应威胁防护(ATP) 10.x ENS 威胁防护 10.x MVISION Endpoint Microsoft Windows 11、10 Microsoft Windows 服务器2022、2019、2016 摘要
要确认反恶意软件扫描接口(AMSI)排除项按预期工作,请执行以下操作:
检查 AMSI 是否正在进程中加载: 检查 AMSI .dlls 插入到的进程
或:
要确认是否已在进程监视器启动之前运行的进程已注入:
注意: 以下是 ePolicy Orchestrator (ePO)的相应产品策略中的 AMSI 配置位置:
相关信息
有关 AMSI 阻止测试的详细说明,请参阅 KB59742-如何将 EICAR 测试文件与我们的产品配合使用。 要在 Windows Defender 中执行 AMSI 块测试,请执行以下操作:
反恶意软件提供程序可以返回1到32767之间的结果,这是一个估计的风险级别。结果越大,riskier 将继续与内容进行比较。 这些值是特定于提供程序的,可能表示恶意软件系列或 ID。任何低于或大于32768的结果均视为恶意软件,并阻止内容。 应用程序应使用 AmsiResultIsMalware 来确定此值。 AMSI_RESULT_NOT_DETECTED = 1 AMSI_RESULT_BLOCKED_BY_ADMIN_START = 16384 AMSI_RESULT_BLOCKED_BY_ADMIN_END = 20479 AMSI_RESULT_DETECTED = 32768 因此,请使用字符串 32768 搜索 ENS 日志以突出显示可能的 AMSI 块。 恶意软件扫描接口(AMSI)生成的事件的可见性可能会受到限制。 以下步骤提供了 AMSI 日志记录机制:
用于测试
免责声明本文内容源于英文。如果英文内容与其翻译内容之间存在差异,应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。
|
|