Ukupne
Možda ćete primetiti veliki broj događaja u bloku koji se prikupljaju na portalu Microsoft Defender za zaštitu pretnje (MDATP). Ovi događaji se generišu pomoću mašine za integritet koda (CIA) i mogu da se identifikuju po njihovom Eksploaticaguardnonmicrosoftsignedblokirana aktivontip.
Događaj koji se vidi u evidenciji događaja krajnjeg zareda
Tip aktivizma |
Dobavljač/izvor |
ID događaja |
Njegov |
Eksploaticaguardnonmicrosoftzablokirani |
Security-Mitigations |
1 |
Blok čuvara integriteta koda |
Događaj koji se video na vremenskoj osi
Proces "\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" (PID 8780) je blokiran tako da ne učita binarni zapis koji nije Microsoft potpisao: \ Windows \ asembler \ NativeImages_v4.0.30319_64 \ Microsoft. M870d558a \08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll #
Više informacija
Mašina za podatke omogućava da se izvrše samo pouzdani fajlovi. Kada je tip omogućen i naiđe na nepouzdanu datoteku, ona generiše događaj blokiranja. U režimu nadzora, datoteka je i dalje dozvoljena, dok u okviru režima nametanje, datoteka nije izvršena.
CIA može da se omogući na nekoliko načina, uključujući kada primenite smernice aplikacije za Windows Defender (WDAC). Međutim, u ovoj situaciji, MDATP omogućuju CI na zadnjem kraju, što izaziva događaje kada naiđe na nepotpisane datoteke izvornih slika (i) koje potiču iz korporacije Microsoft.
Potpisivanje datoteke treba da omogućava verifikaciju tih datoteka. CIA može da potvrdi da se datoteka menja i potiče od pouzdanog autoriteta na osnovu potpisa. Većina datoteka koje potiču iz korporacije Microsoft su potpisane, međutim, neke datoteke ne mogu da se nalaze ili nisu potpisane iz raznih razloga. Na primer, NI binarne (sastavljene od .NET Framework koda) su generalno potpisane ako su uključene u izdanje. Međutim, oni se obično ponovo generišu na uređaju i ne mogu se potpisati. Zasebno, mnoge aplikacije imaju potpis za taxi ili MSI datoteku za potvrdu autentičnosti u instalaciji. Kada pokrenu, kreiraju dodatne datoteke koje nisu potpisane.
Ublažavanje
Ne preporučujemo da ignoriše ove događaje jer mogu da ukažu na originalni problem bezbednosti. Na primer, zlonamerni napadač može da pokuša da učita nepotpisano binarnu datoteku ispod dugmeta koje potiče od korporacije Microsoft.
Međutim, ovi događaji mogu da se filtriraju po upitu kada pokušate da analizirate druge događaje u naprednom potrazi tako što ćete isključiti događaje koji sadrže Guardnonmicrosoftsignedblokirana aktivnost.
Ovaj upit će vam pokazati sve događaje u vezi sa ovim određenim neispravnim otkrivanjem:
DeviceEvents
| Gde je Aktiontype = = "Eksploataterguardnonmicrosoftzanedblokirano" i Parafatingime = = "powershell.exe" i ime datoteke endswith "ni.dll"
| Gde je vremenska oznaka > pre (7d)
Ako želite da isključite ovaj događaj, trebalo bi da obrnete upit. Tako će se prikazati sve Eksploigarde (EP) Osim ovih:
DeviceEvents
| Gde se počinju tipovi počinju sa "Eksploastražkom"
| Gde se radi? = "Eksploaticaguardnonmicrosoftsnedzablokirano" ili (ActionType = = "Eksploaticguardnonmicrosoftzanedblokirano" i Parafatingliniime! = "powershell.exe") ili (ActionType = = "Eksploatiguardnonmicrosoftzanedzablokirano" i Parafatingime = = "powershell.exe" i ime datoteke! endswith "ni.dll")
| Gde je vremenska oznaka > pre (7d)
Pored toga, ako koristite .NET Framework 4,5 ili noviju verziju, imate opciju ponovnog generisanja datoteka radi rešavanja mnogih suviљnih događaja. Da biste to uradili, izbrišite sve NI datoteke u direktorijumu " Naciveimidžis ", a zatim izvršite komandu ažuriranja NGEN da biste ih ponovo generisali.