摘要
你可能会注意到,Microsoft Defender高级威胁防护 (MDATP) 门户中收集了大量阻止事件。 这些事件由代码完整性 (CI) 引擎生成,可由其 ExploitGuardNonMicrosoftSignedBlocked ActionType 标识。
终结点事件日志中所示的事件
|
ActionType |
提供程序/源 |
事件 ID |
说明 |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
1.2 |
代码完整性防护块 |
时间线中显示的事件
进程“\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” (PID 8780) 被阻止加载非Microsoft签名的二进制文件“\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll”
更多信息
CI 引擎确保仅允许受信任的文件在设备上执行。 启用 CI 并遇到不受信任的文件时,会生成阻止事件。 在“审核”模式下,仍允许执行文件,而在“强制”模式下,会阻止该文件执行。
可以通过多种方式启用 CI,包括部署 Windows Defender 应用程序控制 (WDAC) 策略时。 但是,在这种情况下,MDATP 在后端启用 CI,当它遇到来自 Microsoft 的未签名本机映像 (NI) 文件时,会触发事件。
对文件进行签名是为了验证该文件的真实性。 CI 可以验证文件是否未经修改,并基于其签名源自受信任的颁发机构。 大多数源自Microsoft的文件都是已签名的,但出于各种原因,某些文件无法或未签名。 例如, (从 .NET Framework 代码编译的 NI 二进制文件) 在发布中包含它们时,通常会对其进行签名。 但是,它们通常在设备上重新生成,无法签名。 另外,许多应用程序仅对 CAB 或 MSI 文件进行签名,以在安装时验证其真实性。 运行时,会创建未签名的其他文件。
缓解
建议不要忽略这些事件,因为它们可能指示真正的安全问题。 例如,恶意攻击者可能会试图以源自Microsoft为幌子加载未签名的二进制文件。
但是,当您尝试通过排除 ExploitGuardNonMicrosoftSignedBlocked ActionType 的事件来分析高级搜寻中的其他事件时,可以通过查询筛选出这些事件。
此查询将显示与此特定过度检测相关的所有事件:
DeviceEvents |其中 ActionType == “ExploitGuardNonMicrosoftSignedBlocked” and InitiatingProcessFileName == “powershell.exe” 和 FileName 结尾为“ni.dll” |其中时间戳 > (7d)
如果要排除此事件,则必须反转查询。 这将显示除以下事件之外的所有 ExploitGuard (包括 EP) 事件:
DeviceEvents |其中 ActionType 以“ExploitGuard”开头 |其中 ActionType != “ExploitGuardNonMicrosoftSignedBlocked” or (ActionType == “ExploitGuardNonMicrosoftSignedBlocked” and InitiatingProcessFileName != “powershell.exe”) or (ActionType == “ExploitGuardNonMicrosoftSignedBlocked” and InitiatingProcessFileName == “powershell.exe” and FileName !endswith “ni.dll”) |其中时间戳 > (7d)
此外,如果使用 .NET Framework 4.5 或更高版本,则可以选择重新生成 NI 文件来解决许多多余的事件。 为此,请删除 NativeImages 目录中的所有 NI 文件,然后运行 ngen update 命令重新生成它们。
