Μετριασμός ενός μεγάλου αριθμού συμβάντων αποκλεισμού που συλλέγονται στην πύλη MDATP

Σύνοψη

Ενδέχεται να παρατηρήσετε έναν πολύ μεγάλο αριθμό συμβάντων αποκλεισμού που συλλέγονται στην πύλη προηγμένης προστασίας του Microsoft Defender από απειλές (MDATP). Αυτά τα συμβάντα δημιουργούνται από τον μηχανισμό ακεραιότητας κώδικα (CI) και μπορούν να προσδιοριστούν από το ExploitGuardNonMicrosoftSignedBlocked ActionType.

Συμβάν όπως φαίνεται στο αρχείο καταγραφής συμβάντων τελικού σημείου

Συμβάν όπως φαίνεται στη λωρίδα χρόνου

Η διαδικασία "\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" (PID 8780) αποκλείστηκε από τη φόρτωση του δυαδικού αρχείου '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll" της διαδικασίας

Περισσότερες πληροφορίες

Ο μηχανισμός CI εξασφαλίζει ότι επιτρέπεται μόνο η εκτέλεση αξιόπιστων αρχείων σε μια συσκευή. Όταν η CI είναι ενεργοποιημένη και συναντά ένα μη αξιόπιστο αρχείο, δημιουργεί ένα συμβάν αποκλεισμού. Σε κατάσταση λειτουργίας ελέγχου, εξακολουθεί να επιτρέπεται η εκτέλεση του αρχείου, ενώ στην κατάσταση λειτουργίας επιβολής, αποτρέπεται η εκτέλεση του αρχείου.

Ο ci μπορεί να ενεργοποιηθεί με διάφορους τρόπους, όπως κατά την ανάπτυξη μιας πολιτικής ελέγχου εφαρμογών του Windows Defender (WDAC). Ωστόσο, σε αυτή την περίπτωση, το MDATP ενεργοποιεί τον ci στο πίσω μέρος, γεγονός που ενεργοποιεί συμβάντα όταν συναντά μη υπογεγραμμένα αρχεία εγγενούς εικόνας (NI) που προέρχονται από τη Microsoft.

Η υπογραφή ενός αρχείου έχει σκοπό να ενεργοποιήσει την επαλήθευση της αυθεντικότητας αυτών των αρχείων. Ο ci μπορεί να επαληθεύσει ότι ένα αρχείο δεν έχει τροποποιήσει και προέρχεται από αξιόπιστη αρχή με βάση την υπογραφή του. Τα περισσότερα αρχεία που προέρχονται από τη Microsoft έχουν υπογραφεί, ωστόσο ορισμένα αρχεία δεν μπορούν να υπογραφούν ή να υπογραφούν για διάφορους λόγους. Για παράδειγμα, τα δυαδικά αρχεία NI (μεταγλωττισμένο από κώδικα του .NET Framework) γενικά υπογράφονται εάν περιλαμβάνονται σε μια έκδοση. Ωστόσο, συνήθως δημιουργούνται εκ νέα σε μια συσκευή και δεν είναι δυνατή η υπογραφή τους. Ξεχωριστά, πολλές εφαρμογές έχουν μόνο υπογεγραμμένο το αρχείο CAB ή MSI, για να επαληθεύσουν την αυθεντικότητά τους κατά την εγκατάσταση. Όταν εκτελούνται, δημιουργούν πρόσθετα αρχεία που δεν είναι υπογεγραμμένα.

Μετριασμός

Δεν συνιστάμε να αγνοήσετε αυτά τα συμβάντα, καθώς μπορεί να υποδείξουν γνήσια ζητήματα ασφαλείας. Για παράδειγμα, ένας κακόβουλος εισβολέας μπορεί να προσπαθήσει να φορτώσει ένα μη υπογεγραμμένο δυαδικό αρχείο με το πρόσχημα ότι προέρχεται από τη Microsoft. 

Ωστόσο, αυτά τα συμβάντα μπορούν να φιλτραριστούν κατά ερώτημα, όταν προσπαθείτε να αναλύσετε άλλα συμβάντα στη λειτουργία Advanced Είναι δυνατό, εξαιρώντας τα συμβάντα που έχουν το ExploitGuardNonMicrosoftSignedBlocked ActionType.

Αυτό το ερώτημα θα σας δείξει όλα τα συμβάντα που σχετίζονται με τη συγκεκριμένη υπερ-ανίχνευση:

DeviceEvents
| where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" και InitiatingProcessFileName == "powershell.exe" και FileName endswith "ni.dll"
| where Timestamp > ago(7d)

Εάν θέλετε να εξαιρέσετε αυτό το συμβάν, θα πρέπει να αντιστρέψετε το ερώτημα. Αυτό θα εμφανίζει όλες τις εκδηλώσεις ExploitGuard (συμπεριλαμβανομένων των EP), εκτός από τα εξής:

DeviceEvents
| where ActionType startswith "ExploitGuard"
| where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" ή (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName != "powershell.exe") ή (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" andSignedingProcessFileName == "powershell.exe" and FileName !endswith "ni.dll")
| where Timestamp > ago(7d)

Επιπλέον, εάν χρησιμοποιείτε το .NET Framework 4.5 ή μια νεότερη έκδοση, έχετε την επιλογή της αναδημιουργία αρχείων NI για την επίλυση πολλών από τα περιττά συμβάντα. Για να το κάνετε αυτό, διαγράψτε όλα τα αρχεία NI στον κατάλογο NativeImages και, στη συνέχεια, εκτελέστε την εντολή ενημέρωσης ngen για να τα αναδημιουργήσετε.