MDE_Enum เป็นเครื่องมือ .NET ที่ครอบคลุมซึ่งออกแบบมาเพื่อแยกและแสดงข้อมูลโดยละเอียดเกี่ยวกับการยกเว้นของ Windows Defender และกฎการลดพื้นผิวการโจมตี (ASR) สามารถสืบค้นทั้งระบบภายในและระบบระยะไกลได้อย่างมีประสิทธิภาพ แม้จากบริบทที่มีผู้ใช้น้อย ทำให้เป็นเครื่องมืออเนกประสงค์สำหรับผู้ดูแลระบบและผู้เชี่ยวชาญด้านความปลอดภัย
การสนับสนุนแบบสอบถามท้องถิ่นและระยะไกล : สืบค้นการตั้งค่า Windows Defender ได้อย่างราบรื่นทั้งบนเครื่องท้องถิ่นและระยะไกล
บริบทผู้ใช้ : ทำงานอย่างมีประสิทธิภาพจากบริบทที่มีผู้ใช้น้อย โดยไม่จำเป็นต้องใช้สิทธิ์ผู้ดูแลระบบ
การยกเว้นของ Windows Defender : ดึงและแสดงรายการเส้นทางการยกเว้นทั้งหมดที่กำหนดค่าใน Windows Defender
กฎการลดพื้นผิวการโจมตี (ASR) : แจกแจงกฎ ASR โดยแสดงทั้ง ID และชื่อที่เกี่ยวข้องเพื่อให้ระบุได้ง่าย
เหตุการณ์ ASR ที่ทริกเกอร์ : แยกและแสดงรายการเหตุการณ์ ASR ที่ทริกเกอร์ทั้งหมดเพื่อตรวจสอบกิจกรรมความปลอดภัยของระบบ
ผลลัพธ์โดยละเอียด : นำเสนอข้อมูลในรูปแบบตารางที่ชัดเจนเพื่อให้อ่านและวิเคราะห์ได้ง่าย
คุณลักษณะนี้จะแยกค่าจากบันทึก Windows Event ID 5007 เครื่องมือนี้ใช้การจับคู่รูปแบบ regex เพื่อแยกค่าเหล่านี้จากข้อความคำอธิบายเหตุการณ์อย่างแม่นยำ
ระบุเส้นทางการยกเว้นในเครื่อง
MDE_Enum /local /paths MDE_Enum /local /paths /access (check if current user has write access)
ระบุเส้นทางการแยกบนคอมพิวเตอร์ระยะไกล
MDE_Enum/paths
คุณลักษณะนี้จะแยกค่าจากบันทึก Windows Event ID 1121 เครื่องมือนี้ใช้การจับคู่รูปแบบ regex เพื่อแยกค่าเหล่านี้จากข้อความคำอธิบายเหตุการณ์อย่างแม่นยำ
ระบุกฎ ASR ที่บันทึกไว้ในเครื่อง
MDE_Enum /local /asr
ระบุกฎ ASR ที่บันทึกไว้บนคอมพิวเตอร์ระยะไกล
MDE_Enum/asr
คุณลักษณะนี้จะแยกกฎ Attack Surface Reduction (ASR) ออกจากคลาส MSFT_MpPreference WMI และจัดเตรียมสถานะที่ครอบคลุมของกฎพร้อมกับชื่อที่เกี่ยวข้อง
แจกแจงกฎในพื้นที่
MDE_Enum /local /asr /alt
แจกแจงกฎบนคอมพิวเตอร์ระยะไกล
MDE_Enum/asr /alt
ขอขอบคุณ VakninHai (https://x.com/VakninHai/status/1796628601535652289)
