Zmírnění velkého počtu událostí bloku, které se shromažďují na portálu MDATP

Shrnutí

Na portálu MDATP (Microsoft Defender Advanced Threat Protection) můžete zaznamenat hodně blokovaných událostí. Tyto události jsou generovány v jádru Code integrity (CI) a mohou být identifikovány jejich ExploitGuardNonMicrosoftSignedBlocked ActionType.

Událost v protokolu událostí koncového bodu

ActionType

Provider/source

ID události

Popis

ExploitGuardNonMicrosoftSignedBlocked

Zabezpečení – omezení

12měsíční

Blok ochrany integrity kódu

 

Událost zobrazená na časové ose

Process '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) was blocked from loading the non-Microsoft-signed binary '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'

Více informací

Modul CI zajišťuje, že na zařízení mohou být prováděny pouze důvěryhodné soubory. Pokud je služba CI povolená a narazí na nedůvěryhodný soubor, generuje událost bloku. V režimu auditování se soubor pořád může spouštět, zatímco v režimu vynucení se soubor zabrání spustit.

CI lze povolit v několika ohledech, včetně toho, kdy zavádíte zásadu řízení aplikací v programu Windows Defender (WDAC). V této situaci je ale MDATP povolování CI na back-end, která spouští události, když narazí na nepodepsané soubory nativního obrazu (NI) pocházející z Microsoftu.

Podpis souboru je určen k ověření pravosti souborů. CI může ověřit, že soubor je nezměněný a pochází od důvěryhodné autority na základě jeho podpisu. Většina souborů, které pochází od Microsoftu, je podepsaná, ale některé soubory nemůžou být nepodepsané z různých důvodů. Například binární soubory NI (kompilované z kódu rozhraní .NET Framework) jsou obecně podepsané, pokud jsou součástí vydané verze. Obvykle jsou na zařízení znovu vygenerované a nelze je podepsat. Samostatně: k ověření pravosti při instalaci je v řadě aplikací k dispozici pouze soubor CAB nebo MSI. Při spuštění vytvoří další soubory, které nejsou podepsané.

Omezení rizik

Nedoporučujeme, abyste tyto události ignorovali, protože můžou označovat skutečné problémy zabezpečení. Škodlivý útočník by se mohl například pokusit načíst nepodepsaný binární soubor pod GUI pocházející z Microsoftu. 

Tyto události se ale dají vyfiltrovat pomocí dotazu, když se pokusíte analyzovat další události v pokročilém lovu tak, že vyjmete události, které mají ExploitGuardNonMicrosoftSignedBlocked ActionType.

Tento dotaz vám ukáže všechny události související s tímto konkrétním zjišťováním:

DeviceEvents | WHERE ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName = = "PowerShell. exe" and název_souboru EndsWith "ni. dll" | > časového razítka před (7d)

Pokud chcete tuto událost vyloučit, musíte dotaz Invertovat. Tím se zobrazí všechny události ExploitGuard (včetně portálu EP) Kromě těchto:

DeviceEvents | kde ActionType StartsWith "ExploitGuard" | WHERE ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" or (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName! = "PowerShell. exe") or (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName = = "PowerShell. exe" and FileName! EndsWith "ni. dll") | > časového razítka před (7d)

Pokud používáte .NET Framework 4,5 nebo novější verzi, máte možnost regenerovat soubory. NI a vyřešit mnoho nadbytečných událostí. To provedete tak, že odstraníte všechny soubory NI v adresáři NativeImages a potom spustíte příkaz Ngen Update , abyste je znova vygenerovali.

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Děkujeme za váš názor!

Děkujeme vám za váš názor! Pravděpodobně bude užitečné, když vás spojíme s některým z našich agentů podpory Office.

×