MDE_Enum

MDE_Enum

MDE_Enum ist ein umfassendes .NET-Tool zum Extrahieren und Anzeigen detaillierter Informationen zu Windows Defender-Ausschlüssen und ASR-Regeln (Attack Surface Reduction). Es ist in der Lage, sowohl lokale als auch Remote-Systeme effektiv abzufragen, selbst aus einem Kontext mit wenigen Benutzern, was es zu einem vielseitigen Tool für Systemadministratoren und Sicherheitsexperten macht.

Merkmale

• Unterstützung für lokale und Remote-Abfragen : Fragen Sie Windows Defender-Einstellungen sowohl auf lokalen als auch auf Remote-Computern nahtlos ab.

• Benutzerkontext : Funktioniert effizient in einem Kontext mit wenigen Benutzern, sodass keine Administratorberechtigungen erforderlich sind.

• Windows Defender-Ausschlüsse : Rufen Sie alle in Windows Defender konfigurierten Ausschlusspfade ab und listen Sie sie auf.

• Regeln zur Angriffsflächenreduzierung (ASR) : Listen Sie ASR-Regeln auf und zeigen Sie sowohl die IDs als auch die entsprechenden Namen zur einfachen Identifizierung an.

• Ausgelöste ASR-Ereignisse : Extrahieren und listen Sie alle ausgelösten ASR-Ereignisse auf, um Systemsicherheitsaktivitäten zu überwachen.

• Detaillierte Ausgabe : Präsentiert Informationen in einem klaren, tabellarischen Format zum einfachen Lesen und Analysieren.

Verwendung

Ausschlusspfade für Windows Defender

Diese Funktion extrahiert die Werte aus Windows-Ereignis-ID 5007-Protokollen. Das Tool verwendet einen Regex-Mustervergleich, um diese Werte genau aus dem Ereignisbeschreibungstext zu extrahieren.

1. Ausschlusspfade lokal auflisten

MDE_Enum /local /paths

MDE_Enum /local /paths /access (check if current user has write access)

2. Listen Sie Ausschlusspfade auf Remotecomputern auf

MDE_Enum     /paths

Ausgelöste ASR-Regeln

Diese Funktion extrahiert die Werte aus Windows-Ereignis-ID-1121-Protokollen. Das Tool verwendet einen Regex-Mustervergleich, um diese Werte genau aus dem Ereignisbeschreibungstext zu extrahieren.

1. Zählen Sie protokollierte ASR-Regeln lokal auf

MDE_Enum /local /asr

2. Auflisten protokollierter ASR-Regeln auf Remotecomputern

MDE_Enum     /asr

ASR-Regeln aufzählen

Diese Funktion extrahiert die Attack Surface Reduction (ASR)-Regeln aus der WMI-Klasse MSFT_MpPreference und stellt einen umfassenden Status der Regeln zusammen mit ihren entsprechenden Namen bereit.

1. Listen Sie die Regeln lokal auf

MDE_Enum /local /asr /alt

2. Listen Sie die Regeln auf Remotecomputern auf.

MDE_Enum     /asr /alt

Danksagungen

• Danke an VakninHai (https://x.com/VakninHai/status/1796628601535652289)