¿Es posible recopilar métricas o generar alertas cuando una de las mitigaciones de EMET impide la ejecución de código? Idealmente, me gustaría poder recopilar y analizar datos para admitir declaraciones como "el despliegue de EMET bloqueado ### intentos de explotación contra nuestras PC con Windows el año pasado".
Con EMET 3.0, hemos incluido una nueva capacidad de informe adicional que llamamos "Notificador de EMET". Cuando instala EMET 3.0, este componente ligero está configurado para iniciarse automáticamente con Windows.
Los eventos de EMET se registran a través del origen de eventos llamado EMET. Estos registros se pueden encontrar en el registro de la aplicación. Hay tres niveles: Información, Advertencia y Error. Los mensajes de información se utilizan para registrar el funcionamiento habitual, como el inicio del Notificador EMET. Los mensajes de advertencia se utilizan cuando cambia la configuración de EMET. Los mensajes de error se utilizan para registrar casos en los que EMET detuvo una aplicación con una de sus mitigaciones, lo que significa que se ha bloqueado un ataque activo.
La nueva versión parece que coloca la información necesaria en el Registro de eventos de Windows.
Lea otras preguntas en las etiquetas windows logging threat-mitigation emet