Attenuazione di un numero elevato di eventi di blocco che raccolgono nel portale di MDATP

Riepilogo

Si può notare un numero molto elevato di eventi di blocco che si raccolgono nel portale di Microsoft Defender Advanced Threat Protection (MDATP). Questi eventi vengono generati dal motore di integrità del codice (CI) e possono essere identificati dal relativo ExploitGuardNonMicrosoftSignedBlocked ActionType.

Evento visualizzato nel log eventi dell'endpoint

ActionType

Provider/source

ID evento

Descrizione

ExploitGuardNonMicrosoftSignedBlocked

Attenuazioni della sicurezza

12

Blocco di protezione per l'integrità del codice

 

Evento visualizzato nella sequenza temporale

Process '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) was blocked from loading the non-Microsoft-signed binary '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'

Ulteriori informazioni

Il motore CI assicura che siano consentiti solo i file attendibili per l'esecuzione su un dispositivo. Quando CI è abilitato e viene rilevato un file non attendibile, viene generato un evento Block. In modalità di controllo, il file è ancora consentita l'esecuzione, mentre in modalità di applicazione, il file viene impedito di eseguire.

La funzionalità CI può essere abilitata in diversi modi, ad esempio quando si distribuisce un criterio di controllo applicazione Windows Defender (WDAC). In questa situazione, tuttavia, MDATP Abilita l'IC sul back-end, che sta attivando gli eventi quando incontra file di immagine nativa non firmati (NI) provenienti da Microsoft.

La firma di un file ha lo scopo di consentire la verifica dell'autenticità dei file. CI può verificare che un file non sia modificato e sia stato originato da un'autorità attendibile in base alla sua firma. La maggior parte dei file che hanno origine da Microsoft è stata firmata, ma alcuni file non possono essere o non sono firmati per diversi motivi. Ad esempio, i file binari di NI (compilati da codice .NET Framework) sono in genere firmati se inclusi in una versione. Tuttavia, vengono in genere rigenerati in un dispositivo e non possono essere firmati. Separatamente, molte applicazioni hanno solo il loro file CAB o MSI firmato per verificare l'autenticità all'installazione. Quando vengono eseguiti, creano file aggiuntivi che non sono firmati.

Attenuazione riguarda

Non è consigliabile ignorare questi eventi perché possono indicare problemi di sicurezza originali. Ad esempio, un utente malintenzionato potrebbe provare a caricare un file binario non firmato con l'apparenza di origine da Microsoft. 

Tuttavia, questi eventi possono essere filtrati in base alla query quando si tenta di analizzare altri eventi in ricerca avanzata escludendo gli eventi che hanno il ExploitGuardNonMicrosoftSignedBlocked ActionType.

Questa query Mostra tutti gli eventi correlati a questo particolare sovrarilevamento:

DeviceEvents | dove ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" e InitiatingProcessFileName = = "PowerShell. exe" e nomefile Iniziacon "ni. dll" | dove > timestamp fa (7D)

Se vuoi escludere questo evento, devi invertire la query. In questo modo vengono visualizzati tutti gli eventi di ExploitGuard (inclusi i EP), ad eccezione di quelli seguenti:

DeviceEvents | dove ActionType StartsWith "ExploitGuard" | dove ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" oppure (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" e InitiatingProcessFileName! = "PowerShell. exe") oppure (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" e InitiatingProcessFileName = = "PowerShell. exe" e FileName! Iniziacon "ni. dll") | dove > timestamp fa (7D)

Inoltre, se si usa .NET Framework 4,5 o una versione successiva, è possibile rigenerare i file NI per risolvere molti degli eventi superflui. A tale scopo, eliminare tutti i file NI nella directory NativeImages e quindi eseguire il comando NGen Update per rigenerarli.

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×