jthuemmler
Goto Top

WindowsDefender Infos bzw. Logs auslesen (Powershell)

Hi,

WindowsDefender erzeugt ja keine lesbaren Logfiles. In der Powershell kann ich aber mit
Get-MpComputerStatus
Infos dazu finden. Was und wo kann ich aber finden, wenn der Defender etwas gefunden hat und warnt oder was blockiert?
Get-MpThreatDetection
zeigt mit nix, aber OK, da ist ja aktuell auch nix. Aber, wenn was wäre ... stünde das da?
Hintergrund: bisher habe ich immer die Logfiles der jeweiligen Virenscanner etc. mit den Backups der Clients ins Archiv übernommen und dort ausgewertet... das würde ich gern für den Defender auch tun.

Thx
jth

Content-ID: 4433761825

Url: https://administrator.de/forum/windowsdefender-infos-bzw-logs-auslesen-powershell-4433761825.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

DerWoWusste
DerWoWusste 28.10.2022 um 11:59:35 Uhr
Goto Top
Lade dir den eicar Testvirus runter, dazu ist er ja da.
jthuemmler
jthuemmler 28.10.2022 um 12:22:14 Uhr
Goto Top
Thx, das lässt sich nutzen. Komisch trotzdem, dass in keiner der M$-Dokus stand, was Get-MpThreat[Detection] eigentlich für Meldungen bei Funden kommen...

cu jth
jthuemmler
jthuemmler 28.10.2022 um 13:11:40 Uhr
Goto Top
Hi nochmal,

ergibt sich noch die Frage: was ändert sich für eine behobene Bedrohung in der Ausgabe von Get-MpThreat[Detection]:
- CleaningActionId: war 9, nach Entfernung 3
- RemediationTime: war leer, dann Zeitstempel
- ThreatStatusId: war 1, dann 4

und was ist davon aussagefähig und sicher, weil die Einträge verbleiben ja "ewig" in den Logs und da würde ich schon gern abtrennen, was schon behoben ist...

Ich begreife wohl nie, warum sowas in den Dokus (z.B. https://learn.microsoft.com/en-us/powershell/module/defender/get-mpthrea ..) nicht aufgeführt oder verlinkt ist... wahrscheinlich, damit man sich MSC... was auch immer nennen kann, wenn man es weiß face-wink

cu jth
4400667902
Lösung 4400667902 28.10.2022 aktualisiert um 13:19:43 Uhr
Goto Top
jthuemmler
jthuemmler 28.10.2022 um 13:20:49 Uhr
Goto Top
OK, Danke! Ein Link auf sowas in der Doku zum Kommando, das die ausgibt wäre schon schön face-wink

cu jth
DerWoWusste
DerWoWusste 28.10.2022 um 13:28:07 Uhr
Goto Top
Ich würde jeden Fund, der ja ein Event auslöst, zum Anlass nehmen, um mir das persönlich anzusehen. Also einen eventgetriggerten Task deployen, der den Admins Mails schickt und dem User ein Popup "Admins anrufen, Virus gefunden".