Atténuation d’un grand nombre d’événements de blocage collectés dans le portail MDATP

Résumé

Vous remarquerez peut-être un très grand nombre d’événements de blocage collectés dans le portail Microsoft Defender Advanced Threat Protection (MDATP). Ces événements sont générés par le moteur d’intégrité du code (CI) et peuvent être identifiés par leur ActionType ExploitGuardNonMicrosoftSignedBlocked .

Événement tel qu’il est affiché dans le journal des événements du point de terminaison

Événement vu dans le chronologie

Le processus « \Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe » (PID 8780) n’a pas pu charger le fichier binaire non signé par Microsoft « \Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll »

Informations complémentaires

Le moteur CI s’assure que seuls les fichiers approuvés sont autorisés à s’exécuter sur un appareil. Lorsque l’intégration continue est activée et rencontre un fichier non approuvé, elle génère un événement de bloc. En mode Audit, le fichier est toujours autorisé à s’exécuter, tandis qu’en mode Appliquer, l’exécution du fichier est empêchée.

L’intégration continue peut être activée de plusieurs façons, notamment lorsque vous déployez une stratégie WDAC (Windows Defender Application Control). Toutefois, dans ce cas, MDATP active l’intégration continue sur le serveur principal, ce qui déclenche des événements lorsqu’il rencontre des fichiers d’image native (NI) non signés provenant de Microsoft.

La signature d’un fichier est destinée à permettre la vérification de l’authenticité de ce fichier. CI peut vérifier qu’un fichier n’est pas modifié et qu’il provient d’une autorité approuvée en fonction de sa signature. La plupart des fichiers qui proviennent de Microsoft sont signés, mais certains fichiers ne peuvent pas l’être ou ne le sont pas pour diverses raisons. Par exemple, les fichiers binaires NI (compilés à partir du code .NET Framework) sont généralement signés s’ils sont inclus dans une version. Toutefois, elles sont généralement regénées sur un appareil et ne peuvent pas être signées. Séparément, de nombreuses applications ont uniquement leur fichier CAB ou MSI signé pour vérifier leur authenticité lors de l’installation. Lorsqu’ils s’exécutent, ils créent des fichiers supplémentaires qui ne sont pas signés.

Atténuation

Nous vous déconseillons d’ignorer ces événements, car ils peuvent indiquer des problèmes de sécurité authentiques. Par exemple, un attaquant malveillant peut essayer de charger un binaire non signé sous le couvert d’être originaire de Microsoft. 

Toutefois, ces événements peuvent être filtrés par requête lorsque vous essayez d’analyser d’autres événements dans La chasse avancée en excluant les événements qui ont exploitguardnonMicrosoftSignedBlocked ActionType.

Cette requête affiche tous les événements liés à cette sur-détection particulière :

DeviceEvents
| where ActionType == « ExploitGuardNonMicrosoftSignedBlocked » and InitiatingProcessFileName == « powershell.exe » and FileName se termine par « ni.dll »
| where Timestamp > ago(7d)

Si vous souhaitez exclure cet événement, vous devez inverser la requête. Cela affiche tous les événements ExploitGuard (y compris EP), à l’exception de ceux-ci :

DeviceEvents
| où ActionType commence par « ExploitGuard »
| where ActionType != « ExploitGuardNonMicrosoftSignedBlocked » ou (ActionType == « ExploitGuardNonMicrosoftSignedBlocked » and InitiatingProcessFileName != « powershell.exe ») ou (ActionType == « ExploitGuardNonMicrosoftSignedBlocked » and InitiatingProcessFileName == « powershell.exe » and FileName !endswith « ni.dll »)
| where Timestamp > ago(7d)

En outre, si vous utilisez .NET Framework 4.5 ou une version ultérieure, vous avez la possibilité de régénérer les fichiers NI pour résoudre la plupart des événements superflus. Pour ce faire, supprimez tous les fichiers NI dans le répertoire NativeImages , puis exécutez la commande ngen update pour les régénérer.