6
WindowsDefender Infos bzw. Logs auslesen (Powershell)
Hi,
WindowsDefender erzeugt ja keine lesbaren Logfiles. In der Powershell kann ich aber mit Infos dazu finden. Was und wo kann ich aber finden, wenn der Defender etwas gefunden hat und warnt oder was blockiert? zeigt mit nix, aber OK, da ist ja aktuell auch nix. Aber, wenn was wäre ... stünde das da?
Hintergrund: bisher habe ich immer die Logfiles der jeweiligen Virenscanner etc. mit den Backups der Clients ins Archiv übernommen und dort ausgewertet... das würde ich gern für den Defender auch tun.
Thx
jth
WindowsDefender erzeugt ja keine lesbaren Logfiles. In der Powershell kann ich aber mit
Get-MpComputerStatusGet-MpThreatDetectionHintergrund: bisher habe ich immer die Logfiles der jeweiligen Virenscanner etc. mit den Backups der Clients ins Archiv übernommen und dort ausgewertet... das würde ich gern für den Defender auch tun.
Thx
jth
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4433761825
Url: https://administrator.de/contentid/4433761825
Ausgedruckt am: 20.11.2024 um 05:11 Uhr
6 Kommentare
Neuester Kommentar
Lade dir den eicar Testvirus runter, dazu ist er ja da.
Thx, das lässt sich nutzen. Komisch trotzdem, dass in keiner der M$-Dokus stand, was Get-MpThreat[Detection] eigentlich für Meldungen bei Funden kommen...
cu jth
cu jth
Hi nochmal,
ergibt sich noch die Frage: was ändert sich für eine behobene Bedrohung in der Ausgabe von Get-MpThreat[Detection]:
- CleaningActionId: war 9, nach Entfernung 3
- RemediationTime: war leer, dann Zeitstempel
- ThreatStatusId: war 1, dann 4
und was ist davon aussagefähig und sicher, weil die Einträge verbleiben ja "ewig" in den Logs und da würde ich schon gern abtrennen, was schon behoben ist...
Ich begreife wohl nie, warum sowas in den Dokus (z.B. https://learn.microsoft.com/en-us/powershell/module/defender/get-mpthrea ..) nicht aufgeführt oder verlinkt ist... wahrscheinlich, damit man sich MSC... was auch immer nennen kann, wenn man es weiß
cu jth
ergibt sich noch die Frage: was ändert sich für eine behobene Bedrohung in der Ausgabe von Get-MpThreat[Detection]:
- CleaningActionId: war 9, nach Entfernung 3
- RemediationTime: war leer, dann Zeitstempel
- ThreatStatusId: war 1, dann 4
und was ist davon aussagefähig und sicher, weil die Einträge verbleiben ja "ewig" in den Logs und da würde ich schon gern abtrennen, was schon behoben ist...
Ich begreife wohl nie, warum sowas in den Dokus (z.B. https://learn.microsoft.com/en-us/powershell/module/defender/get-mpthrea ..) nicht aufgeführt oder verlinkt ist... wahrscheinlich, damit man sich MSC... was auch immer nennen kann, wenn man es weiß
cu jth
Das sind alles WMI Klassen ... Und die sind natürlich auch dokumentiert
https://learn.microsoft.com/de-de/previous-versions/windows/desktop/defe ...
https://learn.microsoft.com/en-us/powershell/module/defender/get-mpthrea ...
https://learn.microsoft.com/de-de/previous-versions/windows/desktop/defe ...
https://learn.microsoft.com/de-de/previous-versions/windows/desktop/defe ...
https://learn.microsoft.com/en-us/powershell/module/defender/get-mpthrea ...
https://learn.microsoft.com/de-de/previous-versions/windows/desktop/defe ...
OK, Danke! Ein Link auf sowas in der Doku zum Kommando, das die ausgibt wäre schon schön
cu jth
cu jth
Ich würde jeden Fund, der ja ein Event auslöst, zum Anlass nehmen, um mir das persönlich anzusehen. Also einen eventgetriggerten Task deployen, der den Admins Mails schickt und dem User ein Popup "Admins anrufen, Virus gefunden".
