摘要
您可能會發現在 Microsoft Defender 高級威脅防護 (MDATP) 入口網站中收集大量的封鎖事件。 這些事件是由程式碼完整性 (CI) 引擎所產生,可透過其 ExploitGuardNonMicrosoftSignedBlocked ActionType 加以識別。
顯示在端點事件記錄中的事件
|
ActionType |
提供者/來源 |
事件識別碼 |
描述 |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
12 |
程式碼完整性防護區塊 |
在時程表中看到的事件
程式 "\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" (PID 8780) 已封鎖載入非 Microsoft 簽章的二進位 "\ NativeImages_v4. 30319_64 \ M870d558a # \08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll"
詳細資訊
CI 引擎會確認只允許在裝置上執行受信任的檔案。 啟用 CI 並遇到不受信任的檔案時,會產生區塊事件。 在 [審核] 模式中,仍允許執行該檔案,而在 [強制模式] 中則會禁止執行該檔案。
CI 可透過幾種方式啟用,包括當您部署 Windows Defender 應用程式控制項 (WDAC) 原則時。 不過,在這種情況下,MDATP 會在後端啟用 CI,當您遇到來自 Microsoft 的未簽署原生映射 (NI) 檔案時,就會觸發事件。
檔案的簽章是要啟用該檔案的真品驗證。 CI 可以確認檔案未被修改,且來源於其簽名的信任機構。 來源於 Microsoft 的大部分檔案都會經過簽署,但部分檔案不能根據各種原因加以簽署。 例如,如果從 .NET Framework 程式碼編譯的 NI 二進位檔案 (通常是在發行中包含,就會將它們簽) 。 不過,它們通常是在裝置上重新產生,且無法進行簽署。 另外,許多應用程式只會在安裝時,簽署自己的 CAB 或 MSI 檔案以驗證其真偽。 當它們執行時,他們會建立其他未簽署的檔案。
減少
我們不建議您略過這些事件,因為它們可能表示真正的安全性問題。 例如,惡意攻擊者可能會嘗試在源自 Microsoft 的 guise 下載入無符號二進位檔案。
不過,當您嘗試在高級搜尋中排除具有 ExploitGuardNonMicrosoftSignedBlocked ActionType 的事件時,可以透過 query 來篩選這些事件。
此查詢會顯示與此特定過檢測有關的所有事件:
DeviceEvents
|其中,ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" 和 InitiatingProcessFileName = = "powershell.exe" 且 FileName endswith "ni.dll"
|在時間戳記 > 之前 (7d)
如果您想要排除此活動,您必須將查詢反相。 這會顯示所有 ExploitGuard (包含的 EP) 事件,除了這些以外:
DeviceEvents
|where ActionType startswith "ExploitGuard"
|其中,ActionType! = "ExploitGuardNonMicrosoftSignedBlocked" 或 (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked" 和 InitiatingProcessFileName! = "powershell.exe" ) 或 (ActionType = = "ExploitGuardNonMicrosoftSignedBlocked",InitiatingProcessFileName = = "powershell.exe" and FileName! endswith "ni.dll" )
|在時間戳記 > 之前 (7d)
此外,如果您使用的是 .NET Framework 4.5 或更新版本,您可以選擇重新產生 NI 檔案,以解決許多多餘的事件。 若要這樣做,請刪除 NativeImages 目錄中的所有 NI 檔案,然後執行ngen 更新 命令來重新產生這些檔案。
