Overzicht
Mogelijk ziet u een zeer groot aantal blok-gebeurtenissen die worden verzameld in de Microsoft Defender MDATP-portal (Advanced Threat Protection). Deze gebeurtenissen worden gegenereerd door de CI-engine (Code Integrity) en kunnen worden geïdentificeerd door hun ExploitGuardNonMicrosoftSignedBlocked ActionType.
Gebeurtenis zoals weergegeven in het gebeurtenislogboek van het eindpunt
ActionType |
Provider/bron |
Gebeurtenis-id |
Beschrijving |
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Code Integrity Guard-blok |
Gebeurtenis zoals weergegeven in de tijdlijn
Proces '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) is geblokkeerd voor het laden van het niet-door Microsoft ondertekende binaire bestand \Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll
Meer informatie
De CI-engine zorgt ervoor dat alleen vertrouwde bestanden op een apparaat mogen worden uitgevoerd. Wanneer CI is ingeschakeld en een niet-vertrouwd bestand tegenkomt, wordt er een blokkeringsgebeurtenis gegenereerd. In de controlemodus mag het bestand nog steeds worden uitgevoerd, terwijl in de modus Afdwingen wordt voorkomen dat het bestand kan worden uitgevoerd.
CI kan op verschillende manieren worden ingeschakeld, waaronder wanneer u een WDAC-beleid (Windows Defender Application Control) implementeert. In deze situatie schakelt MDATP ECHTER CI in op de back-end, waardoor gebeurtenissen worden geactiveerd wanneer er niet-ondertekende Native Image-bestanden (NI) worden aangekomen die afkomstig zijn van Microsoft.
De ondertekening van een bestand is bedoeld om verificatie van de echtheid van dat bestand mogelijk te maken. CI kan controleren of een bestand ongewijzigd is en afkomstig is van een vertrouwde instantie op basis van de handtekening. De meeste bestanden die afkomstig zijn van Microsoft zijn ondertekend, maar sommige bestanden kunnen om verschillende redenen niet of niet worden ondertekend. Binaire NI-bestanden (gecompileerd op basis van .NET Framework code) worden bijvoorbeeld over het algemeen ondertekend als ze zijn opgenomen in een release. Ze worden echter meestal opnieuw gegenereerd op een apparaat en kunnen niet worden ondertekend. Afzonderlijk hebben veel toepassingen alleen hun CAB- of MSI-bestand ondertekend om hun echtheid bij de installatie te verifiëren. Wanneer ze worden uitgevoerd, maken ze extra bestanden die niet zijn ondertekend.
Verzachting
We raden u af deze gebeurtenissen te negeren, omdat ze kunnen duiden op echte beveiligingsproblemen. Een kwaadwillende aanvaller kan bijvoorbeeld proberen een niet-ondertekend binair bestand te laden onder het mom van afkomstig van Microsoft.
Deze gebeurtenissen kunnen echter worden gefilterd op query wanneer u andere gebeurtenissen in Geavanceerde opsporing probeert te analyseren door gebeurtenissen uit te sluiten die het ActionType ExploitGuardNonMicrosoftSignedBlocked hebben.
In deze query ziet u alle gebeurtenissen met betrekking tot deze specifieke overdetectie:
DeviceEvents
| where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" en InitiatingProcessFileName == "powershell.exe" en FileName eindigt met "ni.dll" | where Timestamp > ago(7d)Als u deze gebeurtenis wilt uitsluiten, moet u de query omkeren. Hiermee worden alle ExploitGuard-gebeurtenissen (inclusief EP) weergegeven, behalve deze:
DeviceEvents
| waar ActionType begint met 'ExploitGuard' | where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" of (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName != "powershell.exe") of (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName == "powershell.exe" en FileName !endswith "ni.dll") | where Timestamp > ago(7d)Als u bovendien .NET Framework 4.5 of een latere versie gebruikt, hebt u de mogelijkheid om NI-bestanden opnieuw te genereren om veel van de overbodige gebeurtenissen op te lossen. Hiervoor verwijdert u alle NI-bestanden in de map NativeImages en voert u de opdracht ngen update uit om deze opnieuw te genereren.