DEP、EMET和相关缓解措施的测井和度量

Question

当EMET的一套缓解措施阻止代码执行时，是否有可能收集度量或生成警报？理想情况下，我希望能够收集和分析数据，以支持诸如“部署EMET阻止了去年针对我们的Windows的###攻击尝试”之类的语句。

Answer 1

EMET3.0已经宣布.

在EMET3.0中，我们增加了一个新的报告功能，我们称之为"EMET通知器“。安装EMET3.0时，此轻量级组件被设置为从Windows自动启动。EMET事件通过名为EMET的事件源记录。这些日志可以在应用程序日志中找到。有三个层次:信息、警告和错误。信息消息用于记录通常的操作，如EMET通知程序的启动。当EMET设置更改时，将使用警告消息。错误消息用于记录EMET通过其一种缓解措施停止应用程序的情况，这意味着活动攻击已被阻止。

新版本看起来像是将所需的信息放入Windows事件日志。

Answer 2

似乎没有与EMET相关联的EventID，因此不可能收集这些度量。不过，确实应该有办法做到这一点。

尝试Microsoft 论坛。