Rezumat
Este posibil să observați un număr foarte mare de evenimente Block care se colectează în portalul Microsoft Defender Advanced Threats Protection (MDATP). Aceste evenimente sunt generate de motorul integrității codului (CI) și pot fi identificate prin ExploitGuardNonMicrosoftSignedBlocked ActionType.
Eveniment așa cum se vede în Jurnalul de evenimente final
|
ActionType |
Furnizor/sursă |
ID eveniment |
Descriere |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Bloc de protecție a integrității codului |
Eveniment așa cum se vede în cronologie
Procesul ' \Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ' (PID 8780) a fost blocat de la încărcarea binarului non-Microsoft semnat ' \ Windows \ Assembly \ NativeImages_v4.0.30319_64 \ Microsoft. M870d558a # \08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll '
Mai multe informații
Motorul CI asigură că doar fișierele de încredere sunt permise pentru a fi executate pe un dispozitiv. Atunci când IÎ este activat și întâlnește un fișier de încredere, acesta generează un eveniment bloc. În modul de auditare, fișierul este încă permis să ruleze, în timp ce, în modul de impunere, fișierul este împiedicat să execute.
IÎ poate fi activat în mai multe moduri, inclusiv atunci când implementați o politică Windows Defender Application control (WDAC). Cu toate acestea, în această situație, MDATP activează CI la sfârșitul din spate, care declanșează evenimente atunci când întâmpină fișiere de imagini native nesemnate (NI) originare de la Microsoft.
Semnarea unui fișier trebuie să permită verificarea autenticității fișierelor. CI poate verifica dacă un fișier este nemodificat și provine de la o autoritate de încredere pe baza semnăturii sale. Majoritatea fișierelor care provin de la Microsoft sunt semnate, însă unele fișiere nu pot fi sau nu sunt semnate din mai multe motive. De exemplu, fișierele binare NI (compilate din cod cadru .NET) sunt semnate în general dacă sunt incluse într-o versiune. Cu toate acestea, acestea sunt regenerate de obicei pe un dispozitiv și nu pot fi semnate. Separat, multe aplicații au doar CABINa sau fișierul MSI semnat pentru a-și verifica autenticitatea la instalare. Atunci când rulează, creează fișiere suplimentare care nu sunt semnate.
Atenuare
Nu recomandăm să ignorați aceste evenimente, deoarece acestea pot indica probleme de securitate autentice. De exemplu, un atacator rău intenționat poate încerca să încarce un binar nesemnat sub masca de origine de la Microsoft.
Cu toate acestea, aceste evenimente pot fi filtrate prin interogare atunci când încercați să analizați alte evenimente în vânătoarea complexă, excluzând evenimentele care au ExploitGuardNonMicrosoftSignedBlocked ActionType.
Această interogare vă arată toate evenimentele legate de această detectare excesivă:
DeviceEvents
| Unde ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName = = "powershell.exe" and FileName endswith "ni.dll"
| în cazul în care timestamp > în urmă (7d)
Dacă doriți să excludeți acest eveniment, trebuie să inversați interogarea. Acest lucru ar afișa toate evenimentele ExploitGuard (inclusiv EP), cu excepția acestor:
DeviceEvents
| Unde ActionType Startswith "ExploitGuard"
| Unde ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" or (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName! = "powershell.exe") or (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" and InitiatingProcessFileName = = "powershell.exe" and FileName! endswith "ni.dll")
| în cazul în care timestamp > în urmă (7d)
În plus, dacă utilizați .NET Framework 4,5 sau o versiune mai recentă, aveți opțiunea de a regenera fișiere NI pentru a rezolva multe dintre evenimentele inutile. Pentru a face acest lucru, ștergeți toate fișierele NI din directorul NativeImages , apoi rulează comanda Actualizare NGen pentru a le regenera.
