Ublažavanje velikog broja događaja iz blokova koji se prikupljaju na MDATP portalu

Ukupne

Možda ćete primetiti veliki broj događaja u bloku koji se prikupljaju na portalu Microsoft Defender za zaštitu pretnje (MDATP). Ovi događaji se generišu pomoću mašine za integritet koda (CIA) i mogu da se identifikuju po njihovom Eksploaticaguardnonmicrosoftsignedblokirana aktivontip.

Događaj koji se vidi u evidenciji događaja krajnjeg zareda

Tip aktivizma

Dobavljač/izvor

ID događaja

Njegov

Eksploaticaguardnonmicrosoftzablokirani

Security-Mitigations

1

Blok čuvara integriteta koda

Događaj koji se video na vremenskoj osi

Proces "\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" (PID 8780) je blokiran tako da ne učita binarni zapis koji nije Microsoft potpisao: \ Windows \ asembler \ NativeImages_v4.0.30319_64 \ Microsoft. M870d558a \08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll #

Microsoft-Windows-Security-ublažavanja/režim jezgra

Logija

Microsoft.PowerShell.Commands.Management.ni.dll

Više informacija

Mašina za podatke omogućava da se izvrše samo pouzdani fajlovi. Kada je tip omogućen i naiđe na nepouzdanu datoteku, ona generiše događaj blokiranja. U režimu nadzora, datoteka je i dalje dozvoljena, dok u okviru režima nametanje, datoteka nije izvršena.

CIA može da se omogući na nekoliko načina, uključujući kada primenite smernice aplikacije za Windows Defender (WDAC). Međutim, u ovoj situaciji, MDATP omogućuju CI na zadnjem kraju, što izaziva događaje kada naiđe na nepotpisane datoteke izvornih slika (i) koje potiču iz korporacije Microsoft.

Potpisivanje datoteke treba da omogućava verifikaciju tih datoteka. CIA može da potvrdi da se datoteka menja i potiče od pouzdanog autoriteta na osnovu potpisa. Većina datoteka koje potiču iz korporacije Microsoft su potpisane, međutim, neke datoteke ne mogu da se nalaze ili nisu potpisane iz raznih razloga. Na primer, NI binarne (sastavljene od .NET Framework koda) su generalno potpisane ako su uključene u izdanje. Međutim, oni se obično ponovo generišu na uređaju i ne mogu se potpisati. Zasebno, mnoge aplikacije imaju potpis za taxi ili MSI datoteku za potvrdu autentičnosti u instalaciji. Kada pokrenu, kreiraju dodatne datoteke koje nisu potpisane.

Ublažavanje

Ne preporučujemo da ignoriše ove događaje jer mogu da ukažu na originalni problem bezbednosti. Na primer, zlonamerni napadač može da pokuša da učita nepotpisano binarnu datoteku ispod dugmeta koje potiče od korporacije Microsoft. 

Međutim, ovi događaji mogu da se filtriraju po upitu kada pokušate da analizirate druge događaje u naprednom potrazi tako što ćete isključiti događaje koji sadrže Guardnonmicrosoftsignedblokirana aktivnost.

Ovaj upit će vam pokazati sve događaje u vezi sa ovim određenim neispravnim otkrivanjem:

DeviceEvents
| Gde je Aktiontype = = "Eksploataterguardnonmicrosoftzanedblokirano" i Parafatingime = = "powershell.exe" i ime datoteke endswith "ni.dll"
| Gde je vremenska oznaka > pre (7d)

Ako želite da isključite ovaj događaj, trebalo bi da obrnete upit. Tako će se prikazati sve Eksploigarde (EP) Osim ovih:

DeviceEvents
| Gde se počinju tipovi počinju sa "Eksploastražkom"
| Gde se radi? = "Eksploaticaguardnonmicrosoftsnedzablokirano" ili (ActionType = = "Eksploaticguardnonmicrosoftzanedblokirano" i Parafatingliniime! = "powershell.exe") ili (ActionType = = "Eksploatiguardnonmicrosoftzanedzablokirano" i Parafatingime = = "powershell.exe" i ime datoteke! endswith "ni.dll")
| Gde je vremenska oznaka > pre (7d)

Pored toga, ako koristite .NET Framework 4,5 ili noviju verziju, imate opciju ponovnog generisanja datoteka radi rešavanja mnogih suviљnih događaja. Da biste to uradili, izbrišite sve NI datoteke u direktorijumu " Naciveimidžis ", a zatim izvršite komandu ažuriranja NGEN da biste ih ponovo generisali.

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Hvala za povratne informacije! Izgleda da će biti od pomoći ako vas povežemo sa našim agentima Office podrške.

×