harald99
Goto Top

Defender Bericht zentral verwalten?

Hi!

Kann ich irgendwie Windows Defender Ergebnisse zentral verwalten?
GPO kann ich verteilen (Samba), aber einen Windowserver habe ich nicht.
Falls ein Desktop Viren findet, hätte gerne irgendwie eine Info, ohne ich auf jeden Tag einloggen zu müssen.

Content-Key: 22279919785

Url: https://administrator.de/contentid/22279919785

Printed on: March 1, 2024 at 02:03 o'clock

Member: Spirit-of-Eli
Spirit-of-Eli Oct 13, 2023 at 21:50:38 (UTC)
Goto Top
Moin,

hast du den Enterprise Defender? Ansonsten kannst du dir die Logs nur Manuel vom Client ziehen und selbst irgendwie auswerten.

Gruß
Spirit
Member: Harald99
Harald99 Oct 13, 2023 at 21:59:36 (UTC)
Goto Top
Nein., hab ich nicht.
Member: Spirit-of-Eli
Spirit-of-Eli Oct 13, 2023 at 22:01:56 (UTC)
Goto Top
Dann geht das leider nur manuel. Ne andere Option hast du nicht.

Nur im Enterprise Defender hast du die Infos im Azure Portal.
Member: DerWoWusste
DerWoWusste Oct 14, 2023 at 07:38:17 (UTC)
Goto Top
Virenfunde erzeugen Events. Tasks lassen sich von diesen Events auslösen und können Mails schreiben und ähnliches. Das ist das Defendermonitoring für Arme.
Member: Harald99
Harald99 Oct 14, 2023 at 08:57:57 (UTC)
Goto Top
Hört sich gut an.
Kensnt du da ein Howto zu?
Vorallen, wie scheibt Windows Mails?
Member: DerWoWusste
DerWoWusste Oct 14, 2023 at 19:59:40 (UTC)
Goto Top
Ich triggere einen geplanten Task durch folgendes Event:

Log:Microsoft-Windows-Defender/operational
Quelle:Windows Defender
EventID: 1116

Der Task durchsucht dann selbiges Event nach dem Virusnamen und Dateinamen und sendet per Powershell (Send-MailMessage)
Member: Harald99
Harald99 Oct 14, 2023 at 21:01:40 (UTC)
Goto Top
Ok, ich versuch das mal per GPO zu verteilen.
Member: Mr-Gustav
Mr-Gustav Oct 16, 2023 at 06:40:09 (UTC)
Goto Top
Es gibt auch Thirdparty Tools um den Defener zu verwalten bzw. geht auch einiges per Remotepowershell.
Aber eine Klassische Web Konsole gibts nur in den Bus.Plänen
Member: Harald99
Harald99 Oct 16, 2023 updated at 08:48:16 (UTC)
Goto Top
Zitat von @DerWoWusste:

Der Task durchsucht dann selbiges Event nach dem Virusnamen und Dateinamen und sendet per > Powershell (Send-MailMessage)

Mail habe ich getestet, das geht, aber wie durchsuche ich das Event? Hast du da ein PS-Script für?
Member: DerWoWusste
DerWoWusste Oct 16, 2023 at 09:17:40 (UTC)
Goto Top
Get-winevent -logname "Microsoft-Windows-Windows Defender/Operational" | Where-Object {$_.id -eq 1116 -and $_.Timecreated -gt (Get-date).AddHours(-24)} |fl |findstr /v "ProviderName" | sls Name, Path, Pfad -context 0,1 | Out-File outputdatei_fuer_mailattachment  
Get-winevent -logname "System" | Where-Object {$_.id -eq 1116 -and $_.Timecreated -gt (Get-date).AddHours(-24)} |fl |findstr /v "ProviderName" | sls Name, Path, Pfad -context 0,1 | Out-File -append outputdatei_fuer_mailattachment  
Member: Harald99
Harald99 Oct 16, 2023 at 12:54:12 (UTC)
Goto Top
Unter welchem User lässt du den Task laufen?
Member: DerWoWusste
Solution DerWoWusste Oct 16, 2023 at 13:02:39 (UTC)
Goto Top
System
Member: Harald99
Harald99 Oct 27, 2023 at 14:13:22 (UTC)
Goto Top
Klappt nun alles.

Ich hatte für die Ausführung des PS-Script den Interpreter für den Aufruf vergessen.
Member: Harald99
Harald99 Nov 10, 2023 at 08:08:22 (UTC)
Goto Top
Ok stimmt nicht ganz. Per GPO habe ich es jetzt versucht.
Der Task wird mit Status 0x41303 nicht ausgeführt.

Ich habe fast alle Einstellung aus meinem lokalen Test übernommen.
Task Typ "Windows 10" konnte ich allerdings nicht setzen.
Member: DerWoWusste
DerWoWusste Nov 10, 2023 at 08:45:38 (UTC)
Goto Top
Gib Infos zu deinem Task. Falsch machen kann man da nichts, aber wenn Du schon Typ Win10 nicht setzen kannst, dann musst Du mal erklären, was du vor dir siehst. Mit Screenshots.
Member: Harald99
Harald99 Nov 10, 2023 at 10:21:45 (UTC)
Goto Top
Der User ist als SID eingegtragen, für das lokale System wurde das im Netz empfohlen.
screen
Member: DerWoWusste
DerWoWusste Nov 10, 2023 at 11:34:08 (UTC)
Goto Top
Ok, das "Konfigurieren für" ist eh Banane hier.
Du kannst bitte mal "System" eintragen, vielleicht liegt es an der SID.
Member: Harald99
Harald99 Nov 10, 2023 at 13:00:15 (UTC)
Goto Top
Es liegt nicht an der SID.
Ich habe noch mal getestet. Der Task braucht ein Startdatum in der Zukunft.
Ich hatte mich gefragt, welches das wohl wäre, das GPO-Datum oder wenn der Client sich die GPO zieht?
Ich habe eben zwei Tests gemacht. Ein Client hatte sich die GPO vor dem Task-Datum geholt, der 2. Client erst danach.
Client 1 hat mir den Report geschickt, der 2. nicht.
Member: DerWoWusste
DerWoWusste Nov 10, 2023 at 13:25:24 (UTC)
Goto Top
Ich hatte von EventIDs als Tasktriggern gesprochen - keine Uhrzeiten/Daten. Damit geht es jedenfalls problemlos.
Member: Harald99
Harald99 Nov 10, 2023 updated at 13:56:47 (UTC)
Goto Top
Ich weiss.
Aber eben auch das kann so zicken, daher empfehlen einige, ein Startdatum beim Trigger anzugeben...
Member: Harald99
Harald99 Nov 16, 2023 at 13:37:26 (UTC)
Goto Top
Zitat von @DerWoWusste:

Ich hatte von EventIDs als Tasktriggern gesprochen - keine Uhrzeiten/Daten. Damit geht es jedenfalls problemlos.

Hattest du eigentlich extra Berichtigungen für SYSTEM eingestellt, z.B. batch?
Member: DerWoWusste
DerWoWusste Nov 16, 2023 at 13:57:23 (UTC)
Goto Top
Nein, nicht nötig.
Member: Harald99
Harald99 Nov 16, 2023 at 15:33:39 (UTC)
Goto Top
Seltsam, hier mal der Task als XML:

<TaskV2 clsid="{D8896631-B747-47a7-84A6-C155337F3BC8}" name="Defender Event Report" image="2" changed="2023-11-16 14:24:45" uid="{B62365C5-69B6-4ED5-821E-9F0D33807B3B}" userContext="0" removePolicy="0">  
	<Properties action="U" name="Defender Event Report" runAs="S-1-5-18" logonType="S4U">  
		<Task version="1.3">  
			<RegistrationInfo>
				<Author>MYDOMAIN\Administrator</Author>
				<Description></Description>
			</RegistrationInfo>
			<Principals>
				<Principal id="Author">  
					<UserId>S-1-5-18</UserId>
					<LogonType>S4U</LogonType>
					<RunLevel>HighestAvailable</RunLevel>
				</Principal>
			</Principals>
			<Settings>
				<IdleSettings>
					<Duration>PT5M</Duration>
					<WaitTimeout>PT1H</WaitTimeout>
					<StopOnIdleEnd>false</StopOnIdleEnd>
					<RestartOnIdle>false</RestartOnIdle>
				</IdleSettings>
				<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
				<DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
				<StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
				<AllowHardTerminate>true</AllowHardTerminate>
				<AllowStartOnDemand>false</AllowStartOnDemand>
				<Enabled>true</Enabled>
				<Hidden>false</Hidden>
				<ExecutionTimeLimit>PT1H</ExecutionTimeLimit>
				<Priority>7</Priority>
				<RunOnlyIfNetworkAvailable>true</RunOnlyIfNetworkAvailable>
			</Settings>
			<Actions Context="Author">  
				<Exec>
					<Command>powershell</Command>
					<Arguments>-File C:\Windows\defender.ps1</Arguments>
				</Exec>
			</Actions>
			<Triggers>
				<EventTrigger>
					<Enabled>true</Enabled>
					<Subscription>&lt;QueryList&gt;&lt;Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational"&gt;&lt;Select Path="Microsoft-Windows-Windows Defender/Operational"&gt;*[System[Provider[@Name=''] and EventID=1116]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;</Subscription>  
				</EventTrigger>
			</Triggers>
		</Task>
	</Properties>
</TaskV2>
Member: DerWoWusste
DerWoWusste Nov 16, 2023 at 16:26:16 (UTC)
Goto Top
Ähnlich, aber nicht gleich:

<?xml version="1.0" encoding="UTF-16"?>  
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">  
  <RegistrationInfo>
    <Author>mydom\me</Author>
    <Description>Schickt Mails an die Admins, wenn Viren gefunden werden</Description>
    <URI>\Virus_Alert2</URI>
  </RegistrationInfo>
  <Triggers>
    <EventTrigger>
      <Enabled>true</Enabled>
      <Subscription>&lt;QueryList&gt;&lt;Query Id="0" Path="Microsoft-Windows-Windows Defender/Operational"&gt;&lt;Select Path="Microsoft-Windows-Windows Defender/Operational"&gt;*[System[Provider[@Name='Microsoft-Windows-Windows Defender'] and EventID=1116]]&lt;/Select&gt;&lt;/Query&gt;&lt;/QueryList&gt;</Subscription>  
    </EventTrigger>
  </Triggers>
  <Principals>
    <Principal id="Author">  
      <UserId>S-1-5-18</UserId>
      <RunLevel>LeastPrivilege</RunLevel>
    </Principal>
  </Principals>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <Duration>PT10M</Duration>
      <WaitTimeout>PT1H</WaitTimeout>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">  
    <Exec>
      <Command>msg</Command>
      <Arguments>* Virenfund auf Ihrem PC! Bitte Admins informieren</Arguments>
    </Exec>
    <Exec>
      <Command>powershell</Command>
      <Arguments>\\server\share\Defender\Virusevent.ps1</Arguments>
    </Exec>
    <Exec>
      <Command>\\server\share\Defender\virusalert.bat</Command>
    </Exec>
  </Actions>
</Task>
Member: Harald99
Harald99 Nov 17, 2023 at 13:38:11 (UTC)
Goto Top
Hast du eine andere Windowsversion?
Vorallem der Teil mit LogonType irritiert mich.
Hohe Rechte hast du wohl auch aus.
Member: DerWoWusste
DerWoWusste Nov 17, 2023 at 14:07:59 (UTC)
Goto Top
Ganz einfach. Win10 22H2.
->neuer Task
->ausführendes Konto: system
->Trigger: das genannte Event.
->Aktion: dein Skript

Das ist alles.
Member: Harald99
Harald99 Nov 17, 2023 at 15:18:32 (UTC)
Goto Top
vom XML her sieht das so aus, als wäre der Task für Vista erstellt worden.
Member: DerWoWusste
DerWoWusste Nov 17, 2023 at 16:08:21 (UTC)
Goto Top
Das spielt keine Rolle.