MDE_Enum

MDE_Enum عبارة عن أداة .NET شاملة مصممة لاستخراج وعرض معلومات تفصيلية حول استثناءات Windows Defender وقواعد تقليل سطح الهجوم (ASR). إنه قادر على الاستعلام عن كل من الأنظمة المحلية والبعيدة بشكل فعال، حتى من سياق المستخدم المنخفض، مما يجعله أداة متعددة الاستخدامات لمسؤولي النظام ومحترفي الأمان.

• دعم الاستعلام المحلي والبعيد : الاستعلام بسلاسة عن إعدادات Windows Defender على كل من الأجهزة المحلية والبعيدة.
• سياق المستخدم : يعمل بكفاءة من سياق مستخدم منخفض، مما يلغي الحاجة إلى أذونات إدارية.
• استثناءات Windows Defender : قم باسترداد جميع مسارات الاستثناء التي تم تكوينها في Windows Defender وإدراجها.
• قواعد تقليل سطح الهجوم (ASR) : قم بتعداد قواعد ASR، مع عرض المعرفات والأسماء المقابلة لها لسهولة التعرف عليها.
• أحداث ASR التي تم تشغيلها : قم باستخراج جميع أحداث ASR التي تم تشغيلها وسردها لمراقبة أنشطة أمان النظام.
• المخرجات التفصيلية : يقدم المعلومات بتنسيق واضح ومجدول لتسهيل القراءة والتحليل.

تستخرج هذه الميزة القيم من سجلات Windows Event ID 5007. تستخدم الأداة مطابقة نمط التعبير العادي لاستخراج هذه القيم بدقة من نص وصف الحدث.

1. تعداد مسارات الاستبعاد محليا

 MDE_Enum /local /paths

MDE_Enum /local /paths /access (check if current user has write access) 

2. تعداد مسارات الاستبعاد على أجهزة الكمبيوتر البعيدة

 MDE_Enum     /paths 

تستخرج هذه الميزة القيم من سجلات Windows Event ID 1121. تستخدم الأداة مطابقة نمط التعبير العادي لاستخراج هذه القيم بدقة من نص وصف الحدث.

1. تعداد قواعد ASR المسجلة محلياً

 MDE_Enum /local /asr 

2. تعداد قواعد ASR المسجلة على أجهزة الكمبيوتر البعيدة

 MDE_Enum     /asr 

تستخرج هذه الميزة قواعد تقليل سطح الهجوم (ASR) من فئة MSFT_MpPreference WMI وتوفر حالة شاملة للقواعد مع أسمائها المقابلة.

1. تعداد القواعد محليا

 MDE_Enum /local /asr /alt 

2. تعداد القواعد على أجهزة الكمبيوتر البعيدة.

 MDE_Enum     /asr /alt 

• شكرًا لفاكنينهاي (https://x.com/VakninHai/status/1796628601535652289)