Registro y métricas para DEP, EMET y mitigaciones relacionadas

2

¿Es posible recopilar métricas o generar alertas cuando una de las mitigaciones de EMET impide la ejecución de código? Idealmente, me gustaría poder recopilar y analizar datos para admitir declaraciones como "el despliegue de EMET bloqueado ### intentos de explotación contra nuestras PC con Windows el año pasado".

    
pregunta Matt 02.05.2012 - 20:25
fuente

2 respuestas

1

EMET 3.0 ha sido anunciado.

  

Con EMET 3.0, hemos incluido una nueva capacidad de informe adicional que llamamos "Notificador de EMET". Cuando instala EMET 3.0, este componente ligero está configurado para iniciarse automáticamente con Windows.

     

Los eventos de EMET se registran a través del origen de eventos llamado EMET. Estos registros se pueden encontrar en el registro de la aplicación. Hay tres niveles: Información, Advertencia y Error. Los mensajes de información se utilizan para registrar el funcionamiento habitual, como el inicio del Notificador EMET. Los mensajes de advertencia se utilizan cuando cambia la configuración de EMET. Los mensajes de error se utilizan para registrar casos en los que EMET detuvo una aplicación con una de sus mitigaciones, lo que significa que se ha bloqueado un ataque activo.

La nueva versión parece que coloca la información necesaria en el Registro de eventos de Windows.

    
respondido por el Matt 16.05.2012 - 17:28
fuente
0

Parece que no hay un EventID asociado a EMET, por lo que es posible que no sea posible recopilar esas métricas. Sin embargo, debería haber una manera de hacerlo.

Pruebe los foros de Microsoft EMET.

    
respondido por el schroeder 02.05.2012 - 21:14
fuente

Lea otras preguntas en las etiquetas