הקלה של מספר גדול של אירועי בלוק שאוספים בפורטל MDATP

סיכום

ייתכן שתבחין במספר גדול מאוד של איסוף אירועים המתקבלים בפורטל הגנת האיום המתקדם של Microsoft Defender (MDATP). אירועים אלה מופקים על-ידי מנגנון תקינות הקוד (CI) וניתן לזהות אותם על-ידי ExploitGuardNonMicrosoftSignedBlocked ActionType.

אירוע כפי שניתן לראות ביומן האירועים של נקודת הקצה

ActionType

Provider/source

מזהה אירוע

תיאור

ExploitGuardNonMicrosoftSignedBlocked

הפחתת אבטחה

12

חסימת שומרי תקינות של קוד

 

אירוע כפי שניתן לראות בציר הזמן

Process '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) was blocked from loading the non-Microsoft-signed binary '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'

מידע נוסף

מנגנון CI מוודא שרק קבצים מהימנים מורשים לפעול במכשיר. כאשר CI מופעל ונתקל בקובץ לא מהימן, הוא יוצר אירוע בלוק. במצב ביקורת, הקובץ עדיין מותר לביצוע, ואילו במצב אכיפה, הקובץ מונע מביצוע.

ניתן להפוך את CI לזמינה בכמה דרכים, כולל בעת פריסת מדיניות בקרת יישומים של Windows Defender (WDAC). עם זאת, במצב זה, MDATP מאפשר ל-CI בקצה האחורי, המפעיל אירועים כאשר הוא נתקל בקבצים מקוריים של תמונות מקוריות (NI) שמקורם מ-Microsoft.

החתימה של קובץ מיועדת לאפשר אימות של מקוריות קבצים זו. CI יכול לוודא שהקובץ אינו משתנה ושמקורו ברשות מהימנה בהתבסס על החתימה שלו. רוב הקבצים שמקורם ב-Microsoft חתומים, אך קבצים מסוימים אינם ניתנים לחתימה או שאינם חתומים מסיבות שונות. לדוגמה, הקבצים הבינאריים של NI (הידור מתוך קוד .NET Framework) נחתמו בדרך כלל אם הם כלולים במהדורה. עם זאת, הם מופקים מחדש בדרך כלל במכשיר ולא ניתן לחתום עליהם. בנפרד, יישומים רבים מכילים רק את קובץ ה-CAB או ה-MSI שלהם כדי לאמת את המקוריות שלהם בהתקנה. כאשר הם פועלים, הם יוצרים קבצים נוספים שאינם חתומים.

קלה

איננו ממליצים להתעלם מאירועים אלה מאחר שהם יכולים לציין בעיות אבטחה אמיתיות. לדוגמה, תוקף זדוני עשוי לנסות לטעון בינארי לא חתום תחת המסווה של שמקורו מ-Microsoft. 

עם זאת, ניתן לסנן אירועים אלה על-ידי שאילתה כאשר אתה מנסה לנתח אירועים אחרים בחיפוש מתקדם על-ידי הכללת אירועים בעלי ExploitGuardNonMicrosoftSignedBlocked ActionType.

שאילתה זו תציג את כל האירועים הקשורים לאיתור מפורט זה באופן מסוים:

DeviceEvents | כאשר ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" ו-InitiatingProcessFileName = = "powershell. exe" ו-FileName endswith "ni. dll" | כאשר חותמת זמן של > (7d)

אם ברצונך לא לכלול אירוע זה, עליך להפוך את השאילתה. פעולה זו תציג את כל האירועים ExploitGuard (כולל של EP) למעט אלה:

DeviceEvents | היכן ActionType startswith "ExploitGuard" | כאשר ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" או (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" ו-InitiatingProcessFileName! = "powershell. exe") או (ActionType = = "" ו-ExploitGuardNonMicrosoftSignedBlocked = = "powershell. exe" ו-FileName! InitiatingProcessFileName "ni. dll") | כאשר חותמת זמן של > (7d)

בנוסף, אם אתה משתמש ב-.NET Framework 4.5 או בגירסה מתקדמת יותר, באפשרותך ליצור משוב קבצי NI כדי לפתור רבים מהאירועים העודפים. לשם כך, מחק את כל קבצי ה-NI במדריך הכתובות של NativeImages ולאחר מכן השתמש בפקודה ngen update כדי ליצור אותם מחדש.

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

תודה על המשוב!

תודה על המשוב! נראה שכדאי לקשר אותך לאחד מנציגי התמיכה של Office.

×