MDE_Enum は、Windows Defender の除外および攻撃対象領域削減 (ASR) ルールに関する詳細情報を抽出して表示するように設計された包括的な .NET ツールです。ローユーザーコンテキストからでも、ローカルシステムとリモートシステムの両方に効果的にクエリを実行できるため、システム管理者やセキュリティ専門家にとって多用途のツールになります。
ローカルおよびリモートのクエリ サポート: ローカル マシンとリモート マシンの両方で Windows Defender 設定をシームレスにクエリします。
ユーザー コンテキスト: 低ユーザー コンテキストから効率的に動作し、管理権限が不要になります。
Windows Defender の除外: Windows Defender で構成されているすべての除外パスを取得して一覧表示します。
Attack Surface Reduction (ASR) Rules : ASR ルールを列挙し、識別しやすいように ID とそれに対応する名前の両方を表示します。
トリガーされた ASR イベント: システムのセキュリティ アクティビティを監視するために、トリガーされたすべての ASR イベントを抽出してリストします。
詳細な出力: 読みやすく分析しやすいように、情報を明確な表形式で表示します。
この機能は、Windows イベント ID 5007 ログから値を抽出します。このツールは正規表現パターン マッチングを使用して、イベント説明テキストからこれらの値を正確に抽出します。
除外パスをローカルで列挙する
MDE_Enum /local /paths MDE_Enum /local /paths /access (check if current user has write access)
リモートコンピュータ上の除外パスを列挙する
MDE_Enum/paths
この機能は、Windows イベント ID 1121 ログから値を抽出します。このツールは正規表現パターン マッチングを使用して、イベント説明テキストからこれらの値を正確に抽出します。
ログに記録された ASR ルールをローカルで列挙する
MDE_Enum /local /asr
リモート コンピューター上でログに記録された ASR ルールを列挙する
MDE_Enum/asr
この機能は、MSFT_MpPreference WMI クラスから攻撃対象領域削減 (ASR) ルールを抽出し、対応する名前とともにルールの包括的なステータスを提供します。
ローカルでルールを列挙する
MDE_Enum /local /asr /alt
リモート コンピューター上のルールを列挙します。
MDE_Enum/asr /alt
VakninHai に感謝します (https://x.com/VakninHai/status/1796628601535652289)
