Zusammenfassung
Möglicherweise stellen Sie fest, dass im Microsoft Defender Advanced Threat Protection (MDATP)-Portal sehr viele Blockereignisse gesammelt werden. Diese Ereignisse werden vom Code Integrity (CI)-Modul generiert und können vom "ExploitGuardNonMicrosoftSignedBlocked ActionType" identifiziert werden.
Ereignis im Endpunktereignisprotokoll
ActionType |
Anbieter/Quelle |
Ereignis-ID |
Beschreibung |
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Codeintegritätsschutzblock |
Ereignis in der Zeitachse
Process '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) was blocked from loading the non-Microsoft-signed binary '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'
Weitere Informationen
Das CI-Modul stellt sicher, dass nur vertrauenswürdige Dateien auf einem Gerät ausgeführt werden dürfen. Wenn CI aktiviert ist und auf eine nicht vertrauenswürdige Datei trifft, wird ein Blockereignis generiert. Im Überwachungsmodus kann die Datei weiterhin ausgeführt werden, wohingegen die Ausführung der Datei im Erzwingungsmodus verhindert wird.
CI kann auf verschiedene Arten aktiviert werden, z. B. beim Bereitstellen einer Windows Defender A0 (Application Control). In dieser Situation aktiviert MDATP jedoch CI auf dem Back-End, das Ereignisse auslöst, wenn es auf nicht signierte Native Image (NI)-Dateien von Microsoft trifft.
Das Signieren einer Datei soll die Überprüfung der Authentizität dieser Dateien ermöglichen. CI kann anhand der Signatur überprüfen, ob eine Datei unverändert ist und von einer vertrauenswürdigen Behörde stammt. Die meisten Dateien, die von Microsoft stammen, sind signiert, einige Dateien können jedoch aus verschiedenen Gründen nicht signiert werden. So werden beispielsweise binäre Binärdateien von NI (kompiliert aus .NET Framework-Code) im Allgemeinen signiert, wenn sie in einer Version enthalten sind. Sie werden jedoch in der Regel auf einem Gerät neu generiert und können nicht signiert werden. Separat sind bei vielen Anwendungen nur die CAB- oder MSI-Datei signiert, um ihre Authentizität bei der Installation zu überprüfen. Wenn sie ausgeführt werden, erstellen sie zusätzliche Dateien, die nicht signiert sind.
Entschärfung
Es wird nicht empfohlen, diese Ereignisse zu ignorieren, da sie auf wirkliche Sicherheitsprobleme hinweisen können. Beispielsweise könnte ein böswilliger Angreifer versuchen, eine nicht signierte Binärdatei unter der Guise von Microsoft zu laden.
Diese Ereignisse können jedoch nach Abfrage herausgefiltert werden, wenn Sie versuchen, andere Ereignisse in Advanced Hunting zu analysieren, indem Sie Ereignisse ausschließen, die den "ExploitGuardNonMicrosoftSignedBlocked ActionType" haben.
Diese Abfrage würde alle Ereignisse im Zusammenhang mit dieser speziellen Übererkennung anzeigen:
DeviceEvents
| where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" and FileName endswith "ni.dll"
| wobei "Zeitstempel> vor(7d)
Wenn Sie dieses Ereignis ausschließen möchten, müssen Sie die Abfrage umkehren. Hier werden alle ExploitGuard (einschließlich EP)-Ereignisse mit Ausnahme dieser Ereignisse gezeigt:
DeviceEvents
| Wo ActionType mit "ExploitGuard"
beginnt
| dabei ActionType != "ExploitGuardNonMicrosoftSignedBlocked" oder (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" und InitiingProcessFileName != "powershell.exe") oder (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" und InitiatingProcessFileName == "powershell.exe" und FileName !endswith "ni.dll")
| wobei "Zeitstempel> vor(7d)
Darüber hinaus haben Sie bei Verwendung von .NET Framework 4.5 oder einer späteren Version die Möglichkeit, DIE DATEIEN erneut zu erstellen, um viele überflüssige Ereignisse zu beheben. Löschen Sie dazu alle NI-Dateien im Verzeichnis "NativeImages", und führen Sie dann den Befehl "ngen update" aus, um sie erneut zu erstellen.