MDE_Enum

MDE_Enum은 Windows Defender 제외 및 ASR(Attack Surface Reduction) 규칙에 대한 자세한 정보를 추출하고 표시하도록 설계된 포괄적인 .NET 도구입니다. 낮은 사용자 컨텍스트에서도 로컬 및 원격 시스템을 효과적으로 쿼리할 수 있으므로 시스템 관리자와 보안 전문가를 위한 다용도 도구가 됩니다.

• 로컬 및 원격 쿼리 지원 : 로컬 및 원격 컴퓨터 모두에서 Windows Defender 설정을 원활하게 쿼리합니다.
• 사용자 컨텍스트 : 낮은 사용자 컨텍스트에서 효율적으로 작동하므로 관리 권한이 필요하지 않습니다.
• Windows Defender 제외 : Windows Defender에 구성된 모든 제외 경로를 검색하고 나열합니다.
• ASR(공격 표면 감소) 규칙 : ASR 규칙을 열거하고 쉽게 식별할 수 있도록 ID와 해당 이름을 모두 표시합니다.
• 트리거된 ASR 이벤트 : 트리거된 모든 ASR 이벤트를 추출하고 나열하여 시스템 보안 활동을 모니터링합니다.
• 상세 출력 : 쉽게 읽고 분석할 수 있도록 명확한 표 형식으로 정보를 제공합니다.

이 기능은 Windows 이벤트 ID 5007 로그에서 값을 추출합니다. 이 도구는 정규식 패턴 일치를 사용하여 이벤트 설명 텍스트에서 이러한 값을 정확하게 추출합니다.

1. 로컬로 제외 경로 열거

 MDE_Enum /local /paths

MDE_Enum /local /paths /access (check if current user has write access) 

2. 원격 컴퓨터의 제외 경로 열거

 MDE_Enum     /paths 

이 기능은 Windows 이벤트 ID 1121 로그에서 값을 추출합니다. 이 도구는 정규식 패턴 일치를 사용하여 이벤트 설명 텍스트에서 이러한 값을 정확하게 추출합니다.

1. 기록된 ASR 규칙을 로컬로 열거

 MDE_Enum /local /asr 

2. 원격 컴퓨터에 기록된 ASR 규칙 열거

 MDE_Enum     /asr 

이 기능은 MSFT_MpPreference WMI 클래스에서 ASR(공격 표면 감소) 규칙을 추출하고 해당 이름과 함께 규칙의 포괄적인 상태를 제공합니다.

1. 로컬에서 규칙 열거

 MDE_Enum /local /asr /alt 

2. 원격 컴퓨터의 규칙을 열거합니다.

 MDE_Enum     /asr /alt 

• VakninHai에게 감사드립니다(https://x.com/VakninHai/status/1796628601535652289).