Yhteenveto
Microsoft Defender Advanced Threat Protection (MDATP) -portaalissa saattaa olla hyvin paljon lohkotapahtumia. Nämä tapahtumat luodaan KOODIN EHEYS (CI) -ohjelmalla, ja ne voidaan tunnistaa niiden ExploitGuardNonMicrosoftSignedBlocked ActionType-tyypillä.
Tapahtuma päätepisteen tapahtumalokissa
ActionType |
Palveluntarjoaja/lähde |
Tapahtumatunnus |
Kuvaus |
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Koodin eheyden suojauslohko |
Aikajanassa nähty tapahtuma
Prosessi '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) on estetty lataamasta muuta kuin Microsoft-allekirjoitettua binaaria \Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'
Lisätietoja
CI-ohjelma varmistaa, että vain luotetut tiedostot ovat sallittuja laitteessa. Kun CI on käytössä ja kohtaa epäluotettavan tiedoston, se luo lohkotapahtuman. Valvontatilassa tiedoston suorittaminen on edelleen sallittua, kun taas Pakota-tilassa tiedostoa ei voi suorittaa.
Ci voidaan ottaa käyttöön monella tavalla, esimerkiksi Windows Defender Application Control (WDAC) -käytännön käyttöönoton jälkeen. Tässä tilanteessa MDATP ottaa KUITENKIN CI:n käyttöön taustassa, mikä käynnistää tapahtumia, kun se kohtaa Microsoftilta peräisin olevia allekirjoittamattomia native image (NI) -tiedostoja.
Tiedoston allekirjoittamisen tarkoituksena on mahdollistaa tiedostojen aitouden tarkistaminen. Ci voi tarkistaa, että tiedostoa ei ole muutettu ja että se on peräisin luotettavalta myöntäjältä sen allekirjoituksen perusteella. Useimmat Microsoftilta peräisin olevat tiedostot on allekirjoitettu, mutta joitain tiedostoja ei voi tai olla allekirjoitettu eri syistä. Esimerkiksi .NET Framework -koodista koostettu NI-binaarit ovat yleisesti allekirjoitettuja, jos ne sisältyvät julkaisuun. Ne kuitenkin yleensä luodaan uudelleen laitteeseen, eikä niitä voi allekirjoittaa. Erikseen monissa sovelluksissa CAB- tai MSI-tiedosto on allekirjoitettu vain niiden aitouden tarkistamiseksi asennuksen yhteydessä. Kun ne suoritetaan, ne luovat muita tiedostoja, joita ei ole allekirjoitettu.
Riskien lieventäminen
Näitä tapahtumia ei ole suositeltavaa ohittaa, sillä ne voivat ilmaista aidot suojausongelmat. Esimerkiksi haittaohjelmahyökkäys voi yrittää ladata allekirjoittamattoman binaarin Microsoftilta peräisin olevan guisen alle.
Nämä tapahtumat voidaan kuitenkin suodattaa kyselyn mukaan, kun yrität analysoida muita erikoisjainnissa käytettyjä tapahtumia ilman tapahtumia, joissa on ExploitGuardNonMicrosoftSignedBlocked ActionType.
Tämä kysely näyttää kaikki tiettyyn ylitunnistukseen liittyvät tapahtumat:
DeviceEvents
| where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" and FileName endswith "ni.dll"
| jossa aikaleima > sitten(7d)
Jos haluat jättää tämän tapahtuman pois, sinun on käänteistä kysely. Tämä näyttää kaikki ExploitGuard-tapahtumat (ep-tapahtumat mukaan lukien) lukuun ottamatta seuraavia:
DeviceEvents
| jossa ActionType alkaa "ExploitGuard"-ominaisuuden avulla
| where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" tai (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName != "powershell.exe") tai (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" and FileName !endswith "ni.dll")
| jossa aikaleima > sitten(7d)
Jos käytössäsi on .NET Framework 4.5 tai uudempi versio, voit myös luoda uudelleen NI-tiedostoja moniin tarpeettomiin tapahtumiin. Voit tehdä tämän poistamalla kaikki NativeImages-hakemiston NI-tiedostot ja luo ne sitten uudelleen ngen-päivityskomennon avulla.