1. Home
  2. EPA2
Searching...

EPA2

Contents

tail -f /var/log/ns.log | GREP_COLOR='1;31' grep --color=always 'CaseID.*'

sys.client_expr("sys_0_WIN-UPDATE_SCAN-TIME-SEC_<_8[COMMENT: Windows Update]")

FIREWALL

sys.client_expr("app_0_FIREWALL_0_0_ENABLED_==_TRUE[COMMENT: Generic Firewall Product Scan]")​

bitlocker

sys.client_expr("sys_0_REG_PATH_==_HKEY\\\\_LOCAL\\\\_MACHINE\\\\\\\\SYSTEM\\\\\\\\CurrentControlSet\\\\\\\\Control\\\\\\\\BitlockerStatus\\\\\\\\BootStatus_VALUE_==_1[COMMENT: Registry]")

EDR MDE

MsSense.exe (Microsoft Defender for Endpoint Sensor)

  • Rôle : C’est le capteur EDR (Endpoint Detection and Response)

https://learn.microsoft.com/fr-fr/defender-endpoint/microsoft-defender-antivirus-windows

ANTIVIRUS real time

MsMpEng.exe (Microsoft Malware Protection Engine)

  • Rôle : C’est le moteur antivirus principal de Windows Defender
  • Fonction : Scan en temps réel, analyse des fichiers, détection des malwares
  • Présence : Toujours actif sur tous les PC Windows avec Defender activé

sys.client_expr("app_0_ANTIVIR_0_0_RTP_==_TRUE[COMMENT: Generic Antivirus Product Scan]")

ANTIVIRUS last definitine update time

sys.client_expr("app_0_ANTIVIR_0_0_VIRDEF-FILE-TIME_<=_1440[COMMENT: Generic Antivirus Product Scan]")

Sources

MsMpEng.exe (Microsoft Malware Protection Engine)

  • Rôle : C’est le moteur antivirus principal de Windows Defender
  • Fonction : Scan en temps réel, analyse des fichiers, détection des malwares
  • Présence : Toujours actif sur tous les PC Windows avec Defender activé
  • Consommation : Peut utiliser beaucoup de CPU lors des scans
  • Partie de : Windows Defender Antivirus de base

MsSense.exe (Microsoft Defender for Endpoint Sensor)

  • Rôle : C’est le capteur EDR (Endpoint Detection and Response)
  • Fonction : Collecte les télémétries, surveille les comportements, envoie des données au cloud Microsoft pour analyse avancée
  • Présence : Uniquement présent si MDE/Microsoft Defender for Endpoint est déployé (version entreprise)
  • Consommation : Généralement plus léger, travaille en arrière-plan
  • Partie de : Microsoft Defender for Endpoint (solution entreprise)
Was this article helpful?
Yes No