Kopsavilkums
Iespējams, pamanīsit ļoti lielu skaitu bloku notikumu, kas tiek apkopoti Microsoft Defender Advanced Threat Protection (MDATP) portālā. Šos notikumus ģenerē koda integritātes (CI) dzinējs, un tos var identificēt ExploitGuardNonMicrosoftSignedBlocked ACTIONTYPE.
Notikums, kas redzams galapunkta notikumu žurnālfailā
|
ActionType |
Pakalpojumu sniedzējs/avots |
Notikuma ID |
Apraksts |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Koda integritātes aizsarga bloks |
Notikums, kas redzams laika grafikā
Process "\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" (PID 8780) tika bloķēts, ielādējot Non-Microsoft-parakstīto bināro "\ Windows \ Assembly \ NativeImages_v4.0.30319_64 \ Microsoft. M870d558a # \08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll"
Papildinformācija
CI dzinējs nodrošina, ka ierīcei ir atļauts izpildīt tikai uzticamos failus. Ja CI ir iespējota un rodas neuzticams fails, tā ģenerē notikuma bloku. Audita režīmā fails joprojām ir atļauts izpildīt, savukārt noteiktā režīmā failu nevar izpildīt.
CI var iespējot vairākos veidos, tostarp, ja izvietojat Windows Defender lietojumprogrammas vadības (WDAC) politiku. Tomēr šajā situācijā MDATP sniedz iespēju CI aizmugurē, kas izraisa notikumus, kad rodas neparakstīti iekšējie attēla (NI) faili, kas nāk no Microsoft.
Faila parakstīšana ir paredzēta, lai varētu pārbaudīt šo failu autentiskumu. CI var pārbaudīt, vai fails ir nemodificēts un ir izveidots no uzticamas iestādes, kuras pamatā ir paraksts. Lielākā daļa failu, kas nāk no Microsoft, ir parakstīti, taču daži faili nevar būt vai nav parakstīti dažādu iemeslu dēļ. Piemēram, NI binārie faili (kompilēts no .NET Framework koda) parasti tiek parakstīti, ja tie ir iekļauti laidienā. Tomēr parasti tie tiek atkārtoti ģenerēti ierīcē un tos nevar parakstīt. Neatkarīgi no tā, cik lietojumprogrammām ir tikai to CAB vai MSI fails, kas parakstīts, lai verificētu to autentiskumu instalēšanas laikā. Veicot šo darbību, tiek izveidoti papildu faili, kas nav parakstīti.
Mazināšanas
Neiesakām ignorēt šos notikumus, jo tie var norādīt uz īstām drošības problēmām. Piemēram, ļaunprātīgs uzbrucējs var mēģināt ielādēt neparakstītu bināro Microsoft.
Tomēr šos notikumus var filtrēt pēc vaicājuma, ja mēģināt analizēt citus notikumus papildu medībās, izņemot notikumus, kuros ir ExploitGuardNonMicrosoftSignedBlocked ACTIONTYPE.
Šajā vaicājumā ir parādīti visi notikumi, kas saistīti ar šo konkrēto gadījumu:
DeviceEvents
| WHERE ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" un InitiatingProcessFileName = = "powershell.exe" un FileName endswith "ni.dll"
| kur laikspiedols > pirms (7D)
Ja vēlaties izslēgt šo notikumu, jums ir jāapgriež vaicājums. Tādējādi tiks parādīti visi ExploitGuard (ieskaitot EP) notikumus, izņemot šos:
DeviceEvents
| kur ActionType startswith "ExploitGuard"
| WHERE ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" vai (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName! = "powershell.exe") vai (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName = "powershell.exe" un FileName! endswith "ni.dll")
| kur laikspiedols > pirms (7D)
Turklāt, ja izmantojat .NET Framework 4,5 vai jaunāku versiju, jums ir iespēja atkārtoti ģenerēt NI failus, lai atrisinātu daudzus nevajadzīgus notikumus. Lai to izdarītu, izdzēsiet visu NI failu NativeImages direktorijā un pēc tam palaidiet ngen atjaunināšanas komandu, lai tos ģenerētu atkārtoti.
