סיכום
ייתכן שתבחין במספר גדול מאוד של איסוף אירועים המתקבלים בפורטל הגנת האיום המתקדם של Microsoft Defender (MDATP). אירועים אלה מופקים על-ידי מנגנון תקינות הקוד (CI) וניתן לזהות אותם על-ידי ExploitGuardNonMicrosoftSignedBlocked ActionType.
אירוע כפי שניתן לראות ביומן האירועים של נקודת הקצה
ActionType |
ספק/מקור |
מזהה האירוע |
תיאור |
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
חסימת שומרי תקינות של קוד |
אירוע כפי שניתן לראות בציר הזמן
התהליך ' \Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ' (PID 8780) נחסם מטעינת הקובץ הבינארי שאינו מתוצרת Microsoft החתומה על-ידי Microsoft, ההרכבה \ NativeImages_v4.0.30319_64 \ Microsoft. M870d558a \08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll '
מידע נוסף
מנגנון CI מוודא שרק קבצים מהימנים מורשים לפעול במכשיר. כאשר CI מופעל ונתקל בקובץ לא מהימן, הוא יוצר אירוע בלוק. במצב ביקורת, הקובץ עדיין מותר לביצוע, ואילו במצב אכיפה, הקובץ מונע מביצוע.
ניתן להפוך את CI לזמינה בכמה דרכים, כולל בעת פריסת מדיניות בקרת יישומים של Windows Defender (WDAC). עם זאת, במצב זה, MDATP מאפשר ל-CI בקצה האחורי, המפעיל אירועים כאשר הוא נתקל בקבצים מקוריים של תמונות מקוריות (NI) שמקורם מ-Microsoft.
החתימה של קובץ מיועדת לאפשר אימות של מקוריות קבצים זו. CI יכול לוודא שהקובץ אינו משתנה ושמקורו ברשות מהימנה בהתבסס על החתימה שלו. רוב הקבצים שמקורם ב-Microsoft חתומים, אך קבצים מסוימים אינם ניתנים לחתימה או שאינם חתומים מסיבות שונות. לדוגמה, הקבצים הבינאריים של NI (הידור מתוך קוד .NET Framework) נחתמו בדרך כלל אם הם כלולים במהדורה. עם זאת, הם מופקים מחדש בדרך כלל במכשיר ולא ניתן לחתום עליהם. בנפרד, יישומים רבים מכילים רק את קובץ ה-CAB או ה-MSI שלהם כדי לאמת את המקוריות שלהם בהתקנה. כאשר הם פועלים, הם יוצרים קבצים נוספים שאינם חתומים.
קלה
איננו ממליצים להתעלם מאירועים אלה מאחר שהם יכולים לציין בעיות אבטחה אמיתיות. לדוגמה, תוקף זדוני עשוי לנסות לטעון בינארי לא חתום תחת המסווה של שמקורו מ-Microsoft.
עם זאת, ניתן לסנן אירועים אלה על-ידי שאילתה כאשר אתה מנסה לנתח אירועים אחרים בחיפוש מתקדם על-ידי הכללת אירועים בעלי ExploitGuardNonMicrosoftSignedBlocked ActionType.
שאילתה זו תציג את כל האירועים הקשורים לאיתור מפורט זה באופן מסוים:
DeviceEvents
| כאשר ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" ו-InitiatingProcessFileName = = "powershell.exe" ו-FileName endswith "ni.dll"
| היכן > לפני חותמת זמן (7d)
אם ברצונך לא לכלול אירוע זה, עליך להפוך את השאילתה. פעולה זו תציג את כל האירועים ExploitGuard (כולל של EP) למעט אלה:
DeviceEvents
| היכן ActionType startswith "ExploitGuard"
| כאשר ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" או (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" ו-InitiatingProcessFileName! = "powershell.exe") או (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" ו-InitiatingProcessFileName = = "powershell.exe" ו-FileName! endswith "ni.dll")
| היכן > לפני חותמת זמן (7d)
בנוסף, אם אתה משתמש ב-.NET Framework 4.5 או בגירסה מתקדמת יותר, באפשרותך ליצור משוב קבצי NI כדי לפתור רבים מהאירועים העודפים. לשם כך, מחק את כל קבצי ה-NI במדריך הכתובות של NativeImages ולאחר מכן השתמש בפקודה ngen update כדי ליצור אותם מחדש.