Зведення
Ви можете помітити дуже велику кількість блочних подій, які збирають на порталі Microsoft Defender Advanced Protection (MDATP). Ці події генеруються двигуном цілісності коду (CI), і їх можна визначити за допомогою їх ExploitGuardNonMicrosoftSignedBlocked ActionType.
Подія, як показано в журналі подій кінцевої точки
ActionType |
Постачальник і джерело |
Ідентифікатор події |
Опис |
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
Блок захисту цілісності коду |
Подія, як показано на часовій шкалі
Процес "\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" (PID 8780) заблоковано під час завантаження двійкової програми, що не є корпорацією Майкрософт, підписаного ' \ Windows \ збірці \ NativeImages_v4.0.30319_64 \ Microsoft. M870d558a # \08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll '
Додаткові відомості
Обробник CI гарантує, що для виконання на пристрої дозволено виконувати лише надійні файли. Якщо активовано функцію CI і він зустрічає ненадійний файл, він генерує подію Block. У режимі аудиту файл все ще дозволено виконувати, а в режимі застосування файл запобігла виконання.
Можна ввімкнути кілька способів, зокрема під час розгортання політики керування програмами захисника Windows (WКСР). Однак у цій ситуації функція MDATP дає змогу ввімкнути ці дані на задній панелі, яка викликає події, коли вона зустрічає непідписані файли (NI), які походять від корпорації Майкрософт.
Підписання файлу призначене для перевірки автентичності файлів. Можна перевірити, чи файл незмінне та походить від надійного органу на основі його підпису. Більшість файлів, які походять від корпорації Майкрософт, підписані, проте деякі файли не можуть бути або не підписані з різних причин. Наприклад, двійкові файли NI (складені з .NET Framework-коду) зазвичай підписані, якщо їх включено до випуску. Однак вони зазвичай повторно створюються на пристрої та не можуть бути підписані. Крім того, багато програм мають лише файл CAB або MSI, щоб перевірити їхню автентичність під час інсталяції. Під час запуску вони створюють додаткові файли, які не підписані.
Пом'якшення
Ми не радимо ігнорувати ці події, оскільки вони можуть вказувати на справжню проблему з безпекою. Наприклад, зловмисний зловмисник може спробувати завантажити Непідписаний двійковий файл під виглядом від корпорації Майкрософт.
Однак ці події можна фільтрувати за запитом під час спроби проаналізувати інші події в розширеному полюванні, виключаючи події, які мають ExploitGuardNonMicrosoftSignedBlocked ActionType.
Під час цього запиту буде відображено всі події, пов'язані з цим, зокрема про виявлення:
Події
Device
| де ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" і файл ініціалізації = = "powershell.exe" та ім'я файлу endswith "ni.dll"
| місце позначки > тому (7D)
Якщо потрібно виключити цю подію, потрібно обернути запит. Це покаже всі події, які експлуатувала (включно з EP), за винятком таких:
Події
Device
| де ActionType startswith "вибухозахист"
| де ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" or (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" та Ініціалізаціі ім'я файлу! = "powershell.exe") або (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked", а також файл _ ініціалізації = = "powershell.exe" та ім'я файлу! endswith "ni.dll")
| місце позначки > тому (7D)
Крім того, якщо ви використовуєте .NET Framework 4,5 або пізнішу версію, у вас є можливість регенерації файлів у форматі NI, щоб вирішити багато зайвих подій. Для цього видаліть усі файли NI у каталозі Nativeimages , а потім запустіть команду оновлення NGEN , щоб відновити їх.