harald99
Goto Top

Defender Bericht zentral verwalten?

Hi!

Kann ich irgendwie Windows Defender Ergebnisse zentral verwalten?
GPO kann ich verteilen (Samba), aber einen Windowserver habe ich nicht.
Falls ein Desktop Viren findet, hätte gerne irgendwie eine Info, ohne ich auf jeden Tag einloggen zu müssen.

Content-ID: 22279919785

Url: https://administrator.de/forum/defender-bericht-zentral-verwalten-22279919785.html

Ausgedruckt am: 23.12.2024 um 18:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 13.10.2023 um 23:50:38 Uhr
Goto Top
Moin,

hast du den Enterprise Defender? Ansonsten kannst du dir die Logs nur Manuel vom Client ziehen und selbst irgendwie auswerten.

Gruß
Spirit
Harald99
Harald99 13.10.2023 um 23:59:36 Uhr
Goto Top
Nein., hab ich nicht.
Spirit-of-Eli
Spirit-of-Eli 14.10.2023 um 00:01:56 Uhr
Goto Top
Dann geht das leider nur manuel. Ne andere Option hast du nicht.

Nur im Enterprise Defender hast du die Infos im Azure Portal.
DerWoWusste
DerWoWusste 14.10.2023 um 09:38:17 Uhr
Goto Top
Virenfunde erzeugen Events. Tasks lassen sich von diesen Events auslösen und können Mails schreiben und ähnliches. Das ist das Defendermonitoring für Arme.
Harald99
Harald99 14.10.2023 um 10:57:57 Uhr
Goto Top
Hört sich gut an.
Kensnt du da ein Howto zu?
Vorallen, wie scheibt Windows Mails?
DerWoWusste
DerWoWusste 14.10.2023 um 21:59:40 Uhr
Goto Top
Ich triggere einen geplanten Task durch folgendes Event:

Log:Microsoft-Windows-Defender/operational
Quelle:Windows Defender
EventID: 1116

Der Task durchsucht dann selbiges Event nach dem Virusnamen und Dateinamen und sendet per Powershell (Send-MailMessage)
Harald99
Harald99 14.10.2023 um 23:01:40 Uhr
Goto Top
Ok, ich versuch das mal per GPO zu verteilen.
Mr-Gustav
Mr-Gustav 16.10.2023 um 08:40:09 Uhr
Goto Top
Es gibt auch Thirdparty Tools um den Defener zu verwalten bzw. geht auch einiges per Remotepowershell.
Aber eine Klassische Web Konsole gibts nur in den Bus.Plänen
Harald99
Harald99 16.10.2023 aktualisiert um 10:48:16 Uhr
Goto Top
Zitat von @DerWoWusste:

Der Task durchsucht dann selbiges Event nach dem Virusnamen und Dateinamen und sendet per > Powershell (Send-MailMessage)

Mail habe ich getestet, das geht, aber wie durchsuche ich das Event? Hast du da ein PS-Script für?
DerWoWusste
DerWoWusste 16.10.2023 um 11:17:40 Uhr
Goto Top
Get-winevent -logname "Microsoft-Windows-Windows Defender/Operational" | Where-Object {$_.id -eq 1116 -and $_.Timecreated -gt (Get-date).AddHours(-24)} |fl |findstr /v "ProviderName" | sls Name, Path, Pfad -context 0,1 | Out-File outputdatei_fuer_mailattachment  
Get-winevent -logname "System" | Where-Object {$_.id -eq 1116 -and $_.Timecreated -gt (Get-date).AddHours(-24)} |fl |findstr /v "ProviderName" | sls Name, Path, Pfad -context 0,1 | Out-File -append outputdatei_fuer_mailattachment  
Harald99
Harald99 16.10.2023 um 14:54:12 Uhr
Goto Top
Unter welchem User lässt du den Task laufen?
DerWoWusste
Lösung DerWoWusste 16.10.2023 um 15:02:39 Uhr
Goto Top
System
Harald99
Harald99 27.10.2023 um 16:13:22 Uhr
Goto Top
Klappt nun alles.

Ich hatte für die Ausführung des PS-Script den Interpreter für den Aufruf vergessen.
Harald99
Harald99 10.11.2023 um 09:08:22 Uhr
Goto Top
Ok stimmt nicht ganz. Per GPO habe ich es jetzt versucht.
Der Task wird mit Status 0x41303 nicht ausgeführt.

Ich habe fast alle Einstellung aus meinem lokalen Test übernommen.
Task Typ "Windows 10" konnte ich allerdings nicht setzen.
DerWoWusste
DerWoWusste 10.11.2023 um 09:45:38 Uhr
Goto Top
Gib Infos zu deinem Task. Falsch machen kann man da nichts, aber wenn Du schon Typ Win10 nicht setzen kannst, dann musst Du mal erklären, was du vor dir siehst. Mit Screenshots.
Harald99
Harald99 10.11.2023 um 11:21:45 Uhr
Goto Top
Der User ist als SID eingegtragen, für das lokale System wurde das im Netz empfohlen.
screen
DerWoWusste
DerWoWusste 10.11.2023 um 12:34:08 Uhr
Goto Top
Ok, das "Konfigurieren für" ist eh Banane hier.
Du kannst bitte mal "System" eintragen, vielleicht liegt es an der SID.
Harald99
Harald99 10.11.2023 um 14:00:15 Uhr
Goto Top
Es liegt nicht an der SID.
Ich habe noch mal getestet. Der Task braucht ein Startdatum in der Zukunft.
Ich hatte mich gefragt, welches das wohl wäre, das GPO-Datum oder wenn der Client sich die GPO zieht?
Ich habe eben zwei Tests gemacht. Ein Client hatte sich die GPO vor dem Task-Datum geholt, der 2. Client erst danach.
Client 1 hat mir den Report geschickt, der 2. nicht.
DerWoWusste
DerWoWusste 10.11.2023 um 14:25:24 Uhr
Goto Top
Ich hatte von EventIDs als Tasktriggern gesprochen - keine Uhrzeiten/Daten. Damit geht es jedenfalls problemlos.
Harald99
Harald99 10.11.2023 aktualisiert um 14:56:47 Uhr
Goto Top
Ich weiss.
Aber eben auch das kann so zicken, daher empfehlen einige, ein Startdatum beim Trigger anzugeben...
Harald99
Harald99 16.11.2023 um 14:37:26 Uhr
Goto Top
Zitat von @DerWoWusste:

Ich hatte von EventIDs als Tasktriggern gesprochen - keine Uhrzeiten/Daten. Damit geht es jedenfalls problemlos.

Hattest du eigentlich extra Berichtigungen für SYSTEM eingestellt, z.B. batch?
DerWoWusste
DerWoWusste 16.11.2023 um 14:57:23 Uhr
Goto Top
Nein, nicht nötig.
Harald99
Harald99 16.11.2023 um 16:33:39 Uhr
Goto Top
Seltsam, hier mal der Task als XML:

<TaskV2 clsid="{D8896631-B747-47a7-84A6-C155337F3BC8}" name="Defender Event Report" image="2" changed="2023-11-16 14:24:45" uid="{B62365C5-69B6-4ED5-821E-9F0D33807B3B}" userContext="0" removePolicy="0">  
	<Properties action="U" name="Defender Event Report" runAs="S-1-5-18" logonType="S4U">  
		<Task version="1.3">  
			<RegistrationInfo>
				<Author>MYDOMAIN\Administrator</Author>
				<Description></Description>
			</RegistrationInfo>
			<Principals>
				<Principal id="Author">  
					<UserId>S-1-5-18</UserId>
					<LogonType>S4U</LogonType>
					<RunLevel>HighestAvailable</RunLevel>
				</Principal>
			</Principals>
			<Settings>
				<IdleSettings>
					<Duration>PT5M</Duration>
					<WaitTimeout>PT1H</WaitTimeout>
					<StopOnIdleEnd>false</StopOnIdleEnd>
					<RestartOnIdle>false</RestartOnIdle>
				</IdleSettings>
				<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
				<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
				<StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
				<AllowHardTerminate>true</AllowHardTerminate>
				<AllowStartOnDemand>false</AllowStartOnDemand>
				<Enabled>true</Enabled>
				<Hidden>false</Hidden>
				<ExecutionTimeLimit>PT1H</ExecutionTimeLimit>
				<Priority>7</Priority>
				<RunOnlyIfNetworkAvailable>true</RunOnlyIfNetworkAvailable>
			</Settings>
			<Actions Context="Author">  
				<Exec>
					<Command>powershell</Command>
					<Arguments>-File C:\Windows\defender.ps1</Arguments>
				</Exec>
			</Actions>
			<Triggers>
				<EventTrigger>
					<Enabled>true</Enabled>
					<Subscription>&lt;QueryList&gt;&lt;Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational"&gt;&lt;Select Path="Microsoft-Windows-Windows Defender/Operational"&gt;*[System[Provider[@Name=''] and EventID=1116]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;</Subscription>  
				</EventTrigger>
			</Triggers>
		</Task>
	</Properties>
</TaskV2>
DerWoWusste
DerWoWusste 16.11.2023 um 17:26:16 Uhr
Goto Top
Ähnlich, aber nicht gleich:

<?xml version="1.0" encoding="UTF-16"?>  
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">  
  <RegistrationInfo>
    <Author>mydom\me</Author>
    <Description>Schickt Mails an die Admins, wenn Viren gefunden werden</Description>
    <URI>\Virus_Alert2</URI>
  </RegistrationInfo>
  <Triggers>
    <EventTrigger>
      <Enabled>true</Enabled>
      <Subscription>&lt;QueryList&gt;&lt;Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational"&gt;&lt;Select Path="Microsoft-Windows-Windows Defender/Operational"&gt;*[System[Provider[@Name='Microsoft-Windows-Windows Defender'] and EventID=1116]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;</Subscription>  
    </EventTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">  
      <UserId>S-1-5-18</UserId>
      <RunLevel>LeastPrivilege</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <Duration>PT10M</Duration>
      <WaitTimeout>PT1H</WaitTimeout>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">  
    <Exec>
      <Command>msg</Command>
      <Arguments>* Virenfund auf Ihrem PC! Bitte Admins informieren</Arguments>
    </Exec>
    <Exec>
      <Command>powershell</Command>
      <Arguments>\\server\share\Defender\Virusevent.ps1</Arguments>
    </Exec>
    <Exec>
      <Command>\\server\share\Defender\virusalert.bat</Command>
    </Exec>
  </Actions>
</Task>
Harald99
Harald99 17.11.2023 um 14:38:11 Uhr
Goto Top
Hast du eine andere Windowsversion?
Vorallem der Teil mit LogonType irritiert mich.
Hohe Rechte hast du wohl auch aus.
DerWoWusste
DerWoWusste 17.11.2023 um 15:07:59 Uhr
Goto Top
Ganz einfach. Win10 22H2.
->neuer Task
->ausführendes Konto: system
->Trigger: das genannte Event.
->Aktion: dein Skript

Das ist alles.
Harald99
Harald99 17.11.2023 um 16:18:32 Uhr
Goto Top
vom XML her sieht das so aus, als wäre der Task für Vista erstellt worden.
DerWoWusste
DerWoWusste 17.11.2023 um 17:08:21 Uhr
Goto Top
Das spielt keine Rolle.