الملخص
قد تلاحظ عددا كبيرا جدا من أحداث الكتلة التي يتم جمعها في مدخل Microsoft Defender Advanced Threat Protection (MDATP). يتم إنشاء هذه الأحداث بواسطة محرك تكامل التعليمات البرمجية (CI) ويمكن تحديدها بواسطة نوع الإجراء ExploitGuardNonMicrosoftSignedBlocked .
الحدث كما هو موضح في سجل أحداث نقطة النهاية
|
نوع الإجراء |
الموفر/المصدر |
معرف الحدث |
الوصف |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
كتلة حماية تكامل التعليمات البرمجية |
حدث كما هو موضح في المخطط الزمني
تم حظر العملية "\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" (PID 8780) من تحميل الثنائي غير الموقع من Microsoft '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'
معلومات إضافية
يتأكد محرك CI من السماح بتنفيذ الملفات الموثوق بها فقط على جهاز. عند تمكين CI ومواجهة ملف غير موثوق به، فإنه ينشئ حدث كتلة. في وضع التدقيق، لا يزال يسمح للملف بالتنفيذ، بينما في وضع فرض، يتم منع الملف من التنفيذ.
يمكن تمكين CI بعدة طرق بما في ذلك عند نشر نهج Windows Defender Application Control (WDAC). ومع ذلك، في هذه الحالة، يقوم MDATP بتمكين CI على النهاية الخلفية، والذي يقوم بتشغيل الأحداث عندما يواجه ملفات صورة أصلية (NI) غير موقعة تنشأ من Microsoft.
يهدف توقيع ملف إلى تمكين التحقق من صحة تلك الملفات. يمكن ل CI التحقق من أن الملف غير معدل وأن ينشأ من مرجع موثوق به بناء على توقيعه. يتم توقيع معظم الملفات التي تنشأ من Microsoft، ولكن لا يمكن توقيع بعض الملفات أو عدم توقيعها لأسباب مختلفة. على سبيل المثال، يتم توقيع ثنائيات NI (المحولة برمجيا من التعليمات البرمجية .NET Framework) بشكل عام إذا تم تضمينها في إصدار. ومع ذلك، عادة ما تتم إعادة إنشائها على جهاز ولا يمكن توقيعها. بشكل منفصل، تحتوي العديد من التطبيقات فقط على ملف CAB أو MSI الخاص بها موقع للتحقق من أصالتها عند التثبيت. عند تشغيلها، يقومون بإنشاء ملفات إضافية غير موقعة.
التخفيف
لا نوصي بتجاهل هذه الأحداث لأنها يمكن أن تشير إلى مشكلات أمان حقيقية. على سبيل المثال، قد يحاول مهاجم ضار تحميل ثنائي غير موقع تحت ستار إنشاء من Microsoft.
ومع ذلك، يمكن تصفية هذه الأحداث حسب الاستعلام عند محاولة تحليل الأحداث الأخرى في Advanced Hunting عن طريق استبعاد الأحداث التي تحتوي على ExploitGuardNonMicrosoftSignedBlocked ActionType.
سيعرض لك هذا الاستعلام جميع الأحداث المتعلقة بهذا الكشف الزائد المحدد:
أحداث الجهاز | where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" وFileName ينتهي ب "ni.dll" | حيث > الطابع الزمني منذ (7d)
إذا كنت ترغب في استبعاد هذا الحدث، فسيتعين عليك عكس الاستعلام. سيؤدي ذلك إلى إظهار جميع أحداث ExploitGuard (بما في ذلك EP) باستثناء ما يلي:
أحداث الجهاز | حيث يبدأ ActionType ب "ExploitGuard" | where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" أو (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" و InitiatingProcessFileName != "powershell.exe "") أو (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" وبدءProcessFileName == "powershell.exe" وFileName !endswith "ni.dll") | حيث > الطابع الزمني منذ (7d)
بالإضافة إلى ذلك، إذا كنت تستخدم .NET Framework 4.5 أو إصدار أحدث، فلديك خيار إعادة إنشاء ملفات NI لحل العديد من الأحداث غير الضرورية. للقيام بذلك، احذف جميع ملفات NI في دليل NativeImages ثم قم بتشغيل أمر تحديث ngen لإعادة إنشائها.
