缓解在 MDATP 门户中收集的大量阻止事件

摘要

你可能会在 Microsoft Defender 高级威胁防护(MDATP)门户中发现大量的阻止事件收集。 这些事件由代码完整性(CI)引擎生成,并且可以通过其 ExploitGuardNonMicrosoftSignedBlocked ActionType 进行识别。

终结点事件日志中显示的事件

ActionType

Provider/source

事件 ID

说明

ExploitGuardNonMicrosoftSignedBlocked

安全-缓解

代码完整性保护块

 

在日程表中显示的事件

Process '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) was blocked from loading the non-Microsoft-signed binary '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'

更多信息

CI 引擎可确保仅允许在设备上执行受信任的文件。 当 CI 已启用并遇到不受信任的文件时,它会生成一个阻止事件。 在审核模式下,仍允许执行文件,而在强制模式下,将阻止执行文件。

可以通过多种方式启用 CI,包括在部署 Windows Defender 应用程序控件(WDAC)策略时。 但是,在这种情况下,MDATP 将在后端启用 CI,当遇到来自 Microsoft 的无符号本机映像(NI)文件时,这将触发事件。

文件签名旨在启用文件真实性验证。 CI 可以验证文件是否未被修改,并根据其签名从受信任的机构发出。 来自 Microsoft 的大多数文件均已签名,但某些文件不能出于各种原因而被签名。 例如,如果在发布中包含了 NI 二进制文件(从 .NET Framework 代码编译),则该二进制文件通常已签名。 但是,它们通常在设备上重新生成,并且不能进行签名。 另外,许多应用程序仅对其 CAB 或 MSI 文件进行签名,以便在安装时验证其真实性。 运行时,它们将创建未签名的其他文件。

缓解措施

我们不建议你忽略这些事件,因为它们可以指示真正的安全问题。 例如,恶意攻击者可能尝试在来自 Microsoft 的 guise 下加载未签名的二进制文件。 

但是,当你尝试通过排除具有 ExploitGuardNonMicrosoftSignedBlocked ActionType 的事件来分析高级搜寻中的其他事件时,可以通过查询筛选这些事件。

此查询将向你显示与此特定检测项相关的所有事件:

DeviceEvents |其中,ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" 和 InitiatingProcessFileName = = "" 和文件名结尾 "ni .dll" |其中,时间戳 > 前(7d)

如果要排除此事件,则必须反转查询。 这将显示除以下情况之外的所有 ExploitGuard (包括 EP)事件:

DeviceEvents |其中,ActionType startswith "ExploitGuard" |where ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" 或(ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" 和 InitiatingProcessFileName! = "")或(ActionType = = "ExploitGuardNonMicrosoftSignedBlocked")或(ActionType = = "" 和 InitiatingProcessFileName = = "")和文件名!结尾 "ni .dll") |其中,时间戳 > 前(7d)

此外,如果使用 .NET Framework 4.5 或更高版本,则可以选择重新生成 NI 文件来解决许多多余的事件。 若要执行此操作,请删除 NativeImages 目录中的所有 NI 文件,然后运行 " ngen 更新 " 命令以重新生成它们。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×