MDE_Enum عبارة عن أداة .NET شاملة مصممة لاستخراج وعرض معلومات تفصيلية حول استثناءات Windows Defender وقواعد تقليل سطح الهجوم (ASR). إنه قادر على الاستعلام عن كل من الأنظمة المحلية والبعيدة بشكل فعال، حتى من سياق المستخدم المنخفض، مما يجعله أداة متعددة الاستخدامات لمسؤولي النظام ومحترفي الأمان.
دعم الاستعلام المحلي والبعيد : الاستعلام بسلاسة عن إعدادات Windows Defender على كل من الأجهزة المحلية والبعيدة.
سياق المستخدم : يعمل بكفاءة من سياق مستخدم منخفض، مما يلغي الحاجة إلى أذونات إدارية.
استثناءات Windows Defender : قم باسترداد وإدراج جميع مسارات الاستثناء التي تم تكوينها في Windows Defender.
قواعد تقليل سطح الهجوم (ASR) : قم بتعداد قواعد ASR، مع عرض المعرفات والأسماء المقابلة لها لسهولة التعرف عليها.
أحداث ASR التي تم تشغيلها : قم باستخراج جميع أحداث ASR التي تم تشغيلها وسردها لمراقبة أنشطة أمان النظام.
المخرجات التفصيلية : يقدم المعلومات بتنسيق واضح ومجدول لتسهيل القراءة والتحليل.
تستخرج هذه الميزة القيم من سجلات Windows Event ID 5007. تستخدم الأداة مطابقة نمط التعبير العادي لاستخراج هذه القيم بدقة من نص وصف الحدث.
تعداد مسارات الاستبعاد محليا
MDE_Enum /local /paths MDE_Enum /local /paths /access (check if current user has write access)
تعداد مسارات الاستبعاد على أجهزة الكمبيوتر البعيدة
MDE_Enum <remoteComputer> <username> <password> <domain> /paths
تستخرج هذه الميزة القيم من سجلات Windows Event ID 1121. تستخدم الأداة مطابقة نمط التعبير العادي لاستخراج هذه القيم بدقة من نص وصف الحدث.
تعداد قواعد ASR المسجلة محلياً
MDE_Enum /local /asr
تعداد قواعد ASR المسجلة على أجهزة الكمبيوتر البعيدة
MDE_Enum <remoteComputer> <username> <password> <domain> /asr
تستخرج هذه الميزة قواعد تقليل سطح الهجوم (ASR) من فئة MSFT_MpPreference WMI وتوفر حالة شاملة للقواعد بالإضافة إلى أسمائها المقابلة.
تعداد القواعد محليا
MDE_Enum /local /asr /alt
تعداد القواعد على أجهزة الكمبيوتر البعيدة.
MDE_Enum <remoteComputer> <domain> <username> <password> /asr /alt
شكرًا لفاكنينهاي (https://x.com/VakninHai/status/1796628601535652289)
