Μετριασμός ενός μεγάλου αριθμού συμβάντων αποκλεισμού που συλλέγονται στην πύλη MDATP

Σύνοψη

Ενδέχεται να παρατηρήσετε έναν πολύ μεγάλο αριθμό συμβάντων αποκλεισμού που συλλέγονται στην πύλη του Microsoft Defender Advanced Threat Protection (MDATP). Αυτά τα συμβάντα δημιουργούνται από τον μηχανισμό ακεραιότητας κώδικα (CI) και μπορούν να αναγνωριστούν από το ExploitGuardNonMicrosoftSignedBlocked ActionType.

Συμβάν όπως φαίνεται στο αρχείο καταγραφής συμβάντων τελικού σημείου

Συμβάν όπως φαίνεται στη λωρίδα χρόνου

Η διεργασία "\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" (PID 8780) αποκλείστηκε από τη φόρτωση του δυαδικού αρχείου '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'

Περισσότερες πληροφορίες

Ο μηχανισμός CI διασφαλίζει ότι επιτρέπεται η εκτέλεση μόνο αξιόπιστων αρχείων σε μια συσκευή. Όταν η δυνατότητα CI είναι ενεργοποιημένη και συναντά ένα μη αξιόπιστο αρχείο, δημιουργεί ένα συμβάν αποκλεισμού. Σε κατάσταση λειτουργίας ελέγχου, εξακολουθεί να επιτρέπεται η εκτέλεση του αρχείου, ενώ στη λειτουργία Επιβολή, η εκτέλεση του αρχείου εμποδίζεται.

Η δυνατότητα CI μπορεί να ενεργοποιηθεί με διάφορους τρόπους, όπως όταν αναπτύσσετε μια πολιτική Ελέγχου εφαρμογών Windows Defender (WDAC). Ωστόσο, σε αυτή την περίπτωση, το MDATP ενεργοποιεί τη δυνατότητα CI στο πίσω μέρος, γεγονός που ενεργοποιεί συμβάντα όταν υπάρχουν ανυπόγραφα αρχεία εγγενούς εικόνας (NI) που προέρχονται από τη Microsoft.

Η υπογραφή ενός αρχείου έχει ως στόχο να επιτρέψει την επαλήθευση της αυθεντικότητας των αρχείων. Η ci μπορεί να επαληθεύσει ότι ένα αρχείο δεν έχει κωδικοποιηθεί και προέρχεται από μια αξιόπιστη αρχή με βάση την υπογραφή του. Τα περισσότερα αρχεία που προέρχονται από τη Microsoft έχουν υπογραφεί, ωστόσο ορισμένα αρχεία δεν μπορούν να υπογραφούν ή να μην έχουν υπογραφεί για διάφορους λόγους. Για παράδειγμα, τα δυαδικά αρχεία NI (που καταρτίζονται από .NET Framework κώδικα) υπογράφονται γενικά εάν περιλαμβάνονται σε μια έκδοση. Ωστόσο, συνήθως δημιουργούνται εκ νέου σε μια συσκευή και δεν είναι δυνατή η υπογραφή τους. Ξεχωριστά, πολλές εφαρμογές έχουν μόνο το αρχείο CAB ή MSI υπογεγραμμένο για να επαληθεύσουν τη γνησιότητά τους κατά την εγκατάσταση. Όταν εκτελούνται, δημιουργούν πρόσθετα αρχεία που δεν έχουν υπογραφεί.

Μετριασμού

Δεν συνιστούμε να αγνοήσετε αυτά τα συμβάντα, καθώς μπορούν να υποδείξουν γνήσια ζητήματα ασφαλείας. Για παράδειγμα, ένας κακόβουλος εισβολέας μπορεί να προσπαθήσει να φορτώσει ένα ανυπόγραφο δυαδικό αρχείο με το πρόσχημα της Microsoft. 

Ωστόσο, αυτά τα συμβάντα μπορούν να φιλτραριστούν κατά ερώτημα όταν προσπαθείτε να αναλύσετε άλλα συμβάντα στο Advanced Hunting, εξαιρώντας τα συμβάντα που έχουν το ExploitGuardNonMicrosoftSignedBlocked ActionType.

Αυτό το ερώτημα θα σας δείξει όλα τα συμβάντα που σχετίζονται με τη συγκεκριμένη υπερ-ανίχνευση:

DeviceEvents
| where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" και InitiatingProcessFileName == "powershell.exe" and FileName endswith "ni.dll"
| όπου η χρονική σήμανση > πριν(7d)

Εάν θέλετε να εξαιρέσετε αυτό το συμβάν, θα πρέπει να αντιστρέψετε το ερώτημα. Θα εμφανίζονταν όλες οι εκδηλώσεις ExploitGuard (συμπεριλαμβανομένων των ΕΚ), εκτός από τις εξής:

DeviceEvents
| όπου το ActionType ξεκινάμε το "ExploitGuard"
| where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" ή (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" και InitiatingProcessFileName != "powershell.exe") ή (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" και InitiatingProcessFileName == "powershell.exe" και FileName !endswith "ni.dll")
| όπου η χρονική σήμανση > πριν(7d)

Επιπλέον, εάν χρησιμοποιείτε .NET Framework 4.5 ή νεότερη έκδοση, έχετε την επιλογή να αναδημιουργήσετε αρχεία NI για να επιλύσετε πολλά από τα περιττά συμβάντα. Για να το κάνετε αυτό, διαγράψτε όλα τα αρχεία NI στον κατάλογο NativeImages και, στη συνέχεια, εκτελέστε την εντολή ενημέρωσης ngen για να τα αναδημιουργήσετε.