חל עלMicrosoft Defender for Endpoint

סיכום

ייתכן שתבחין במספר גדול מאוד של אירועי חסימה הנאספים בפורטל 'הגנה מתקדמת מפני Microsoft Defender (MDATP)'. אירועים אלה נוצרים על-ידי מנגנון תקינות קוד (CI) ובאפשרותך לזהות אותם באמצעות ExploitGuardNonMicrosoftSignedBlocked ActionType שלהם.

אירוע כפי שנראה ביומן האירועים של נקודת הקצה

סוג פעולה

ספק/מקור

מזהה האירוע

תיאור

ExploitGuardNonMicrosoftSignedBlocked

Security-Mitigations

12

בלוק שומר תקינות קוד

אירוע כפי שנראה בציר הזמן

טעינת הקובץ '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) שאינה חתומה על-ידי Microsoft'\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'

Microsoft-Windows-אבטחה-גורמים מקלים/מצבי ליבה

ציר זמן

Microsoft.PowerShell.Commands.Management.ni.dll

מידע נוסף

מנוע CI מבטיח שרק קבצים מהימנים יורשו לבצע במכשיר. כאשר CI זמין ויתקל בקובץ לא מהימן, הוא יוצר אירוע חסימה. במצב ביקורת, הקובץ עדיין מורשה לבצע, בעוד שמצב אכוף מונע את ביצוע הקובץ.

ניתן להפוך CI לזמין בכמה דרכים, כולל בעת פריסת מדיניות בקרת אפליקציות של Windows Defender (WDAC). עם זאת, במצב זה, MDATP מאפשר CI בקצה האחורי, אשר מפעילה אירועים כאשר הוא נתקל קבצי Native Image (NI) לא רשומים שמקורם ב- Microsoft.

חתימת קובץ נועדה לאפשר אימות של מקוריות קבצים אלה. CI יכול לוודא שקובץ לא השתנות ומקורו ברשות מהימנה בהתבסס על החתימה שלו. רוב הקבצים שמקורם ב- Microsoft חתומים, אך קבצים מסוימים אינם יכולים להיות חתומים או אינם חתומים מסיבות שונות. לדוגמה, קבצים בינאריים של NI (.NET Framework מהקוד) חתומים בדרך כלל אם הם כלולים במהדורה. עם זאת, בדרך כלל הם נוצרים מחדש במכשיר ולא ניתן להוסיף להם חתימה. בנפרד, אפליקציות רבות כוללות רק קובץ CAB או MSI חתום כדי לאמת את המקוריות שלהן בהתקנה. כאשר הם פועלים, הם יוצרים קבצים נוספים שאינם חתומים.

צמצום סיכונים

איננו ממליצים להתעלם מאירועים אלה, כי הם יכולים לציין בעיות אבטחה מקוריות. לדוגמה, תוקף זדוני עשוי לנסות לטעון בינארי לא רשום תחת הכותרת מקורו מ- Microsoft. 

עם זאת, ניתן לסנן אירועים אלה לפי שאילתה כאשר אתה מנסה לנתח אירועים אחרים בה ציד מתקדם על-ידי אי-הכללת אירועים הכוללים את ExploitGuardNonMicrosoftSignedBlocked ActionType.

שאילתה זו תציג לך את כל האירועים הקשורים לגילוי-על מסוים זה:

הגדרות מכשירים | where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" ו- InitiatingProcessFileName == "powershell.exe" ו- FileName מסתיים עם "ni.dll" | where Timestamp > ago(7d)

אם ברצונך לא לכלול אירוע זה, תצטרך להפוך את השאילתה. פעולה זו תציג את כל אירועי ExploitGuard (כולל EP), למעט האירועים הבאים:

הגדרות מכשירים | כאשר ActionType מתחיל ב- "ExploitGuard" | where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" או (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" ו- InitiatingProcessFileName != "powershell.exe") או (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" והתחלתProcessFileName == "powershell.exe" ו- FileName !endswith "ni.dll") | where Timestamp > ago(7d)

בנוסף, אם אתה משתמש ב- .NET Framework 4.5 או בגירסה מתקדמת יותר, יש לך אפשרות ליצור מחדש קבצי NI כדי לפתור רבים מהאירועים הנופים. לשם כך, מחק את כל קבצי NI בספריה NativeImages ולאחר מכן הפעל את פקודת העדכון ngen כדי ליצור אותם מחדש.

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.