Shrnutí
Na portálu MDATP (Microsoft Defender Advanced Threat Protection) můžete zaznamenat hodně blokovaných událostí. Tyto události jsou generovány v jádru Code integrity (CI) a mohou být identifikovány jejich ExploitGuardNonMicrosoftSignedBlocked ActionType.
Událost v protokolu událostí koncového bodu
|
ActionType |
Provider/source |
ID události |
Popis |
|
ExploitGuardNonMicrosoftSignedBlocked |
Zabezpečení – omezení |
12měsíční |
Blok ochrany integrity kódu |
Událost zobrazená na časové ose
Process '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) was blocked from loading the non-Microsoft-signed binary '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'
Více informací
Modul CI zajišťuje, že na zařízení mohou být prováděny pouze důvěryhodné soubory. Pokud je služba CI povolená a narazí na nedůvěryhodný soubor, generuje událost bloku. V režimu auditování se soubor pořád může spouštět, zatímco v režimu vynucení se soubor zabrání spustit.
CI lze povolit v několika ohledech, včetně toho, kdy zavádíte zásadu řízení aplikací v programu Windows Defender (WDAC). V této situaci je ale MDATP povolování CI na back-end, která spouští události, když narazí na nepodepsané soubory nativního obrazu (NI) pocházející z Microsoftu.
Podpis souboru je určen k ověření pravosti souborů. CI může ověřit, že soubor je nezměněný a pochází od důvěryhodné autority na základě jeho podpisu. Většina souborů, které pochází od Microsoftu, je podepsaná, ale některé soubory nemůžou být nepodepsané z různých důvodů. Například binární soubory NI (kompilované z kódu rozhraní .NET Framework) jsou obecně podepsané, pokud jsou součástí vydané verze. Obvykle jsou na zařízení znovu vygenerované a nelze je podepsat. Samostatně: k ověření pravosti při instalaci je v řadě aplikací k dispozici pouze soubor CAB nebo MSI. Při spuštění vytvoří další soubory, které nejsou podepsané.
Omezení rizik
Nedoporučujeme, abyste tyto události ignorovali, protože můžou označovat skutečné problémy zabezpečení. Škodlivý útočník by se mohl například pokusit načíst nepodepsaný binární soubor pod GUI pocházející z Microsoftu.
Tyto události se ale dají vyfiltrovat pomocí dotazu, když se pokusíte analyzovat další události v pokročilém lovu tak, že vyjmete události, které mají ExploitGuardNonMicrosoftSignedBlocked ActionType.
Tento dotaz vám ukáže všechny události související s tímto konkrétním zjišťováním:
DeviceEvents | WHERE ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName = = "PowerShell. exe" and název_souboru EndsWith "ni. dll" | > časového razítka před (7d)
Pokud chcete tuto událost vyloučit, musíte dotaz Invertovat. Tím se zobrazí všechny události ExploitGuard (včetně portálu EP) Kromě těchto:
DeviceEvents | kde ActionType StartsWith "ExploitGuard" | WHERE ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" or (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName! = "PowerShell. exe") or (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName = = "PowerShell. exe" and FileName! EndsWith "ni. dll") | > časového razítka před (7d)
Pokud používáte .NET Framework 4,5 nebo novější verzi, máte možnost regenerovat soubory. NI a vyřešit mnoho nadbytečných událostí. To provedete tak, že odstraníte všechny soubory NI v adresáři NativeImages a potom spustíte příkaz Ngen Update , abyste je znova vygenerovali.