メイン コンテンツへスキップ
サポート
サインイン
Microsoft アカウントでサインイン
サインインまたはアカウントを作成してください。
こんにちは、
別のアカウントを選択してください。
複数のアカウントがあります
サインインに使用するアカウントを選択してください。

要約

Microsoft Defender Advanced Threat Protection (MDATP) ポータルで収集されるブロック イベントの数が非常に多い場合があります。 これらのイベントはコード整合性 (CI) エンジンによって生成され 、ExploitBlockNonMicrosoftSignedBlocked ActionType によって識別できます。

エンドポイント イベント ログに表示されるイベント

ActionType

プロバイダー/ソース

イベント ID

説明

ExploitBlockNonMicrosoftSignedBlocked

Security-Mitigations

12

コード整合性保護ブロック

タイムラインに表示されるイベント

プロセス '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) が Microsoft 署名されていないバイナリ '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll' の読み込みをブロックされました

Microsoft-Windows-Security-Mitigations/Kernel Mode

タイムライン

Microsoft.PowerShell.Commands.Management.ni.dll

詳細情報

CI エンジンは、信頼できるファイルのみをデバイス上で実行できます。 CI が有効であり、信頼できないファイルが検出された場合は、ブロック イベントが生成されます。 監査モードでは、ファイルの実行は引き続き許可されます。一方、強制モードでは、ファイルの実行は許可されません。

CI は、アプリケーション制御 (WDAC) ポリシーにWindows Defenderを含め、いくつかの方法で有効にできます。 ただし、この状況では、MDATP はバック エンドで CI を有効にしています。これは、Microsoft から送信された署名されていないネイティブ イメージ (NI) ファイルが検出された場合にイベントをトリガーします。

ファイルの署名は、そのファイルの真正性の確認を有効にすることを意図しています。 CI は、ファイルが変更されていないか、その署名に基づいて信頼できる機関から送信されたファイルを確認できます。 Microsoft から送信されたほとんどのファイルは署名済みですが、さまざまな理由で一部のファイルに署名できない、または署名されていない場合があります。 たとえば、リリースに含まれている場合、(.NET Framework コードからコンパイルされた) NI バイナリは通常、署名されます。 ただし、通常はデバイスで再生成され、署名することはできません。 これとは別に、多くのアプリケーションでは、インストール時に信頼性を確認するために、CAB ファイルまたは MSI ファイルのみを持っています。 実行すると、署名されていない追加のファイルが作成されます。

軽減策

これらのイベントは、正規のセキュリティの問題を示す可能性がある場合は、無視することをお勧めしません。 たとえば、悪意のある攻撃者が、Microsoft から発信されたバイナリを使用して、署名されていないバイナリを読み込もうとします。 

ただし 、ExploitBlockNonMicrosoftSignedBlocked ActionType を持つイベントを除外することで、高度なハンティングで他のイベントを分析しようとするときに、これらのイベントをクエリで除外できます。

このクエリでは、この特定の過剰検出に関連するすべてのイベントが表示されます。

DeviceEvents
|ここで、ActionType == "ExploitBlockNonMicrosoftSignedBlocked" と InitiatingProcessFileName == "powershell.exe" で終わり、FileName は "ni.dll" で終わります。
|ここで、Timestamp > ago(7d)

このイベントを除外する場合は、クエリを反転する必要があります。 これにより、次以外のすべての Exploit Exploit (EP を含む) イベントが表示されます。

DeviceEvents
|ActionType が "Exploit Exploit Exploit" で始まる場所
|ここで、ActionType != "ExploitBlockNonMicrosoftSignedBlocked" または (ActionType == "ExploitBlockNonMicrosoftSignedBlocked" および InitiatingProcessFileName != "powershell.exe") または (ActionType == "ExploitBlockNonMicrosoftSignedBlocked" と InitiatingProcessFileName == "powershell.exe" および FileName !endswith "ni.dll")
|ここで、Timestamp > ago(7d)

さらに、.NET Framework 4.5 以降のバージョンを使用している場合は、不必要なイベントの多くを解決するために NI ファイルを再生成するオプションがあります。 これを行うには 、NativeImages ディレクトリ内のすべての NI ファイルを削除し、ngen update コマンドを実行して再生成します。

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

ディスカバー コミュニティ

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。

Microsoft コミュニティに問い合わせる

Microsoft 技術コミュニティ

Windows Insiders

Microsoft 365 Insiders

この情報は役に立ちましたか?

言語の品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?
[送信] を押すと、Microsoft の製品とサービスの改善にフィードバックが使用されます。 IT 管理者はこのデータを収集できます。 プライバシーに関する声明。

フィードバックをいただき、ありがとうございます。

×