Rangkuman
Anda mungkin melihat jumlah sangat besar dari kejadian pemblokiran yang dikumpulkan di portal Microsoft Defender Advanced Threat Protection (MDATP). Kejadian ini dihasilkan oleh mesin integritas kode (CI) dan dapat diidentifikasi dengan tipe Exploitguardnonmicrosoftsignedblocked actiontype.
Acara seperti yang terlihat dalam log kejadian akhir
|
Tipe ActionType |
Penyedia/sumber |
ID Kejadian |
Deskripsi |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Blok pelindung integritas kode |
Acara seperti yang terlihat di garis waktu
Proses ' \Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ' (PID 8780) diblokir dari memuat yang tidak-Microsoft-ditandatangani biner ' \ Windows \ rakitan \ NativeImages_v4.0.30319_64 \ Microsoft. M870d558a # \08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll '
Informasi selengkapnya
Mesin CI memastikan bahwa hanya file tepercaya yang diizinkan untuk dijalankan di perangkat. Saat CI diaktifkan dan mengalami file yang tidak tepercaya, ia akan menghasilkan kejadian Blokir. Dalam mode audit, file masih diperbolehkan untuk dijalankan, sedangkan dalam mode Terapkan, file dicegah dijalankan.
CI dapat diaktifkan dalam beberapa cara, termasuk kebijakan Windows Defender Application Control (WDAC). Namun, dalam situasi ini, MDATP mengaktifkan CI di back-end, yang memicu kejadian ketika file tersebut bertemu dengan file asli tanpa tanda tangan (NI) yang berasal dari Microsoft.
Penandatanganan file dimaksudkan untuk memungkinkan verifikasi keaslian file tersebut. CI dapat memverifikasi bahwa file tidak dimodifikasi dan berasal dari otoritas tepercaya berdasarkan tanda tangan. Sebagian besar file yang berasal dari Microsoft ditandatangani, namun beberapa file tidak dapat atau tidak ditandatangani karena berbagai alasan. Misalnya, NI binari (dikompilasi dari .NET Framework Code) umumnya ditandatangani jika disertakan dalam rilis. Namun, mereka biasanya dibuat ulang di perangkat dan tidak dapat ditandatangani. Secara terpisah, banyak aplikasi hanya memiliki file CAB atau MSI yang ditandatangani untuk memverifikasi keasliannya pada penginstalan. Saat dijalankan, mereka membuat file tambahan yang tidak ditandatangani.
Mitigasi
Kami tidak menyarankan agar Anda mengabaikan kejadian ini karena mereka bisa menunjukkan masalah keamanan asli. Misalnya, penyerang yang jahat mungkin mencoba memuat biner tanpa tanda tangani dengan kedok berasal dari Microsoft.
Namun, kejadian ini bisa difilter keluar menurut kueri ketika Anda mencoba menganalisis kejadian lainnya dalam perburuan tingkat lanjut dengan mengecualikan kejadian yang memiliki tipe yang Exploitguardnonmicrosoftsignedblocked .
Kueri ini akan memperlihatkan kepada Anda semua kejadian yang terkait dengan over Detection ini:
DeviceEvents | di mana ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" dan InitiatingProcessFileName = = "powershell.exe" dan akhiran FileName dengan "ni.dll" | di mana timestamp > lalu (7d)
Jika Anda ingin mengecualikan acara ini, maka Anda harus membalikkan kueri. Ini akan memperlihatkan semua kejadian ExploitGuard (termasuk EP) kecuali ini:
DeviceEvents | di mana tipe startandengan "ExploitGuard" | di mana ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" or (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" dan InitiatingProcessFileName! = "powershell.exe") atau (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" dan InitiatingProcessFileName = = "powershell.exe" dan nama file! akhiran "ni.dll") | di mana timestamp > lalu (7d)
Selain itu, jika Anda menggunakan .NET Framework 4,5 atau versi yang lebih baru, Anda memiliki opsi untuk meregenerasi file NI untuk mengatasi banyak kejadian yang berlebihan. Untuk melakukan hal ini, Hapus semua file NI dalam direktori Nativeimages lalu jalankan perintah Ngen update untuk membuatnya kembali.
