Samenvatting
U ziet mogelijk een zeer groot aantal blokgebeurtenissen die zijn verzameld in de portal van Microsoft Defender Advanced Threat Protection (MDATP). Deze gebeurtenissen worden gegenereerd door de CI-engine (Code Integrity) en kunnen worden geïdentificeerd door hun ExploitGuardNonMicrosoftSignedBlocked ActionType.
Gebeurtenis zoals gezien in het gebeurtenislogboek van het eindpunt
|
ActionType |
Provider/bron |
Gebeurtenis-id |
Beschrijving |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Beveiligingsblok voor codeintegriteit |
Gebeurtenis zoals gezien in de tijdlijn
Proces '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) is geblokkeerd voor het laden van de niet-Microsoft-ondertekende binaire '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'
Meer informatie
De CI-engine zorgt ervoor dat alleen vertrouwde bestanden op een apparaat kunnen worden uitgevoerd. Wanneer CI is ingeschakeld en een niet-vertrouwd bestand tegenkomt, wordt er een blokkeringsgebeurtenis gegenereerd. In de controlemodus kan het bestand nog steeds worden uitgevoerd, terwijl in de modus Afdwingen het bestand niet kan worden uitgevoerd.
CI kan op verschillende manieren worden ingeschakeld, bijvoorbeeld wanneer u een WDAC-beleid (Windows Defender Application Control) implementeert. In deze situatie maakt MDATP echter gebruik van CI voor de back-end, wat gebeurtenissen activeert wanneer niet-ondertekende NI-bestanden (Native Image) worden aangetroffen die afkomstig zijn van Microsoft.
Het ondertekenen van een bestand is bedoeld om verificatie van de echtheid van die bestanden mogelijk te maken. Met CI kan worden gecontroleerd of een bestand ongewijzigd is en afkomstig is van een vertrouwde instantie op basis van de handtekening. De meeste bestanden die afkomstig zijn van Microsoft zijn ondertekend, maar sommige bestanden kunnen om verschillende redenen niet worden of niet ondertekend. Binaire gegevens van het gegevensnet (gecompileerd op basis van .NET Framework-code) worden bijvoorbeeld in het algemeen ondertekend als ze in een release zijn opgenomen. Deze worden echter meestal opnieuw gegenereerd op een apparaat en kunnen niet worden ondertekend. Veel toepassingen hebben bij de installatie alleen hun CAB- of MSI-bestand ondertekend om hun echtheid te verifiëren. Wanneer ze worden uitgevoerd, maken ze extra bestanden die niet zijn ondertekend.
Risicobeperking
Het wordt niet aangeraden deze gebeurtenissen te negeren, omdat hiermee legitieme beveiligingsproblemen kunnen worden aangegeven. Een kwaadwillende aanvaller kan bijvoorbeeld proberen een niet-ondertekend binair getal te laden onder de naam van de oorspronkelijke gegevens van Microsoft.
Deze gebeurtenissen kunnen echter worden gefilterd op query's wanneer u probeert andere gebeurtenissen in Advanced Hunting te analyseren door gebeurtenissen met het ExploitGuardNonMicrosoftSignedBlocked ActionType uit te sluiten.
Deze query laat u alle gebeurtenissen zien die betrekking hebben op deze specifieke over-detectie:
DeviceEvents
| waarbij ActionType == "ExploitGuardNonMicrosoftSignedBlocked" en InitiatingProcessFileName == "powershell.exe" en FileName eindigt met "ni.dll"
| where Timestamp > ago(7d)
Als u deze gebeurtenis wilt uitsluiten, moet u de query omkeren. Alle ExploitGuard (inclusief EP)-gebeurtenissen worden dan voor deze gebeurtenissen toont:
DeviceEvents
| waarbij ActionType wordt gestart met 'ExploitGuard'
| where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" of (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" en InitiatingProcessFileName != "powershell.exe") of (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" en InitiatingProcessFileName == "powershell.exe" en FileName !endswith "ni.dll")
| where Timestamp > ago(7d)
Als u .NET Framework 4.5 of een nieuwere versie gebruikt, kunt u bovendien NI-bestanden toevoegen om veel van de overbodige gebeurtenissen op te lossen. U doet dit door alle NI-bestanden in de directory NativeImages te verwijderen en vervolgens de ngen-updateopdracht uit te voeren om ze opnieuw te maken.
