Oppsummering
Det kan hende du legger merke til et svært stort antall blokkeringshendelser som samles inn i Microsoft Defender Advanced Threat Protection-portalen (MDATP). Disse hendelsene genereres av CI-motoren (Code Integrity) og kan identifiseres av exploitGuardNonMicrosoftSignedBlocked ActionType.
Hendelse som vist i hendelsesloggen for endepunktet
ActionType |
Leverandør/kilde |
Hendelses-ID |
Beskrivelse |
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Kodeintegritetsbeskyttelsesblokk |
Hendelse som vist på tidslinjen
Prosessen \Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (PID 8780) ble blokkert fra å laste inn binærfilen som ikke er Microsoft-signert ,\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'
Mer informasjon
CI-motoren sikrer at bare klarerte filer har tillatelse til å kjøre på en enhet. Når CI er aktivert og støter på en ikke-klarert fil, genereres en blokkhendelse. I overvåkingsmodus er filen fortsatt tillatt å kjøre, mens i Fremtving-modus er filen hindret i å kjøre.
CI kan aktiveres på flere måter, inkludert når du distribuerer en Windows Defender WDAC-policy (Application Control). I denne situasjonen aktiverer imidlertid MDATP CI på baksiden, som utløser hendelser når filer med usignerte opprinnelige bilder (NI) kommer fra Microsoft.
Signeringen av en fil er ment å aktivere bekreftelse av at filene er ekte. CI kan kontrollere at en fil er uendret og stammer fra en klarert autoritet basert på signaturen. De fleste filer som kommer fra Microsoft, er signert, men noen filer kan ikke være eller ikke signert av ulike årsaker. Ni-binære (kompilert fra .NET Framework-kode) er for eksempel vanligvis signert hvis de er inkludert i en utgivelse. De genereres imidlertid vanligvis på nytt på en enhet og kan ikke signeres. Hver for seg er det mange programmer som bare har CAB- eller MSI-filen signert for å bekrefte at de er ekte ved installasjon. Når de kjører, oppretter de flere filer som ikke er signert.
Reduksjon
Vi anbefaler ikke at du ignorerer disse hendelsene da de kan indikere ekte sikkerhetsproblemer. En ondsinnet angriper kan for eksempel prøve å laste inn en usignert binærfil under garantien for opprinnelse fra Microsoft.
Disse hendelsene kan imidlertid filtreres ut etter spørring når du prøver å analysere andre hendelser i Advanced Hunting ved å ekskludere hendelser som har ExploitGuardNonMicrosoftSignedBlocked ActionType.
Denne spørringen viser deg alle hendelsene som er relatert til denne bestemte overgjenkjenningen:
DeviceEvents
| where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" and FileName endswith "ni.dll"
| der Timestamp >(7d)
Hvis du vil utelate denne hendelsen, må du invertere spørringen. Dette vil vise alle ExploitGuard (inklusive EP)-hendelser bortsett fra disse:
DeviceEvents
| der ActionType startermed "ExploitGuard"
| where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" eller (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName != "powershell.exe") eller (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" and FileName !endswith "ni.dll")
| der Timestamp >(7d)
Hvis du bruker .NET Framework 4.5 eller en nyere versjon, har du i tillegg muligheten til å generere NI-filer på nytt for å løse mange av de overflødige hendelsene. Hvis du vil gjøre dette, sletter du alle NI-filene i NativeImages-katalogen og kjører deretter ngen-oppdateringskommandoen for å generere dem på nytt.