Freigeben über


Zentrales Abfragen von App Control-Ereignissen mithilfe der erweiterten Suche

Eine App Control for Business-Richtlinie protokolliert Ereignisse lokal in Windows Ereignisanzeige entweder im erzwungenen modus oder im Überwachungsmodus. Während Ereignisanzeige hilft, die Auswirkungen auf ein einzelnes System zu erkennen, möchten IT-Experten dies über viele Systeme hinweg messen.

Im November 2018 haben wir funktionen in Microsoft Defender for Endpoint hinzugefügt, die es einfach macht, App Control-Ereignisse zentral von allen verbundenen Systemen aus anzuzeigen.

Die erweiterte Suche in Microsoft Defender for Endpoint ermöglicht Kunden das Abfragen von Daten mit einer Vielzahl von Funktionen. App Control-Ereignisse können mit mithilfe eines ActionType abgefragt werden, der mit "AppControl" beginnt. Diese Funktion wird ab Windows Version 1607 unterstützt.

Aktionstypen

ActionType Name ETW-Quellereignis-ID Beschreibung
AppControlCodeIntegrityDriverRevoked 3023 Die zu überprüfende Treiberdatei erfüllte nicht die Anforderungen zum Bestehen der App-Steuerungsrichtlinie.
AppControlCodeIntegrityImageRevoked 3036 Die signierte Datei, die überprüft wird, wird von einem Codesignaturzertifikat signiert, das von Microsoft oder der Zertifizierungsstelle widerrufen wurde.
AppControlCodeIntegrityPolicyAudited 3076 Dieses Ereignis ist das Standard App Control for Business-Blockereignis für Überwachungsmodusrichtlinien. Es gibt an, dass die Datei blockiert worden wäre, wenn die App-Steuerungsrichtlinie erzwungen wurde.
AppControlCodeIntegrityPolicyBlocked 3077 Dieses Ereignis ist das Standard App Control for Business-Blockereignis für erzwungene Richtlinien. Dies weist darauf hin, dass die Datei Ihre App-Steuerungsrichtlinie nicht bestanden und blockiert wurde.
AppControlExecutableAudited 8003 Wird nur angewendet, wenn der Erzwingungsmodus Nur überwachen aktiviert ist. Gibt an, .exe oder .dll Datei blockiert würde, wenn der Erzwingungsmodus "Regeln erzwingen" aktiviert wäre.
AppControlExecutableBlocked 8004 Die .exe- oder .dll datei kann nicht ausgeführt werden.
AppControlPackagedAppAudited 8021 Wird nur angewendet, wenn der Erzwingungsmodus Nur überwachen aktiviert ist. Gibt an, dass die gepackte App blockiert wird, wenn der Erzwingungsmodus "Regeln erzwingen" aktiviert wäre.
AppControlPackagedAppBlocked 8022 Die gepackte App wurde durch die Richtlinie blockiert.
AppControlScriptAudited 8006 Wird nur angewendet, wenn der Erzwingungsmodus Nur überwachen aktiviert ist. Gibt an, dass das Skript oder .msi Datei blockiert wird, wenn der Erzwingungsmodus "Regeln erzwingen" aktiviert wäre.
AppControlScriptBlocked 8007 Der Zugriff auf den Dateinamen wird vom Administrator eingeschränkt. Wird nur angewendet, wenn der Erzwingungsmodus Regeln erzwingen entweder direkt oder indirekt durch Gruppenrichtlinie Vererbung festgelegt wird. Das Skript oder die .msi-Datei kann nicht ausgeführt werden.
AppControlCIScriptAudited 8028 Überwachungsskript-/MSI-Datei, die von der Windows LockDown-Richtlinie (WLDP) generiert wird, die von den Skripthosts selbst aufgerufen wird.
AppControlCIScriptBlocked 8029 Blockieren Sie skript-/MSI-Datei, die von der Windows-Sperrdownrichtlinie (WLDP) generiert wird, die von den Skripthosts selbst aufgerufen wird.
AppControlCodeIntegrityOriginAllowed 3090 Die Datei wurde aufgrund eines guten Rufs (ISG) oder der Installationsquelle (verwaltetes Installationsprogramm) zugelassen.
AppControlCodeIntegrityOriginAudited 3091 Informationen zu Reputation (ISG) und Installationsquelle (verwaltetes Installationsprogramm) für eine überwachte Datei.
AppControlCodeIntegrityOriginBlocked 3092 Informationen zu Reputation (ISG) und Installationsquelle (verwaltetes Installationsprogramm) für eine blockierte Datei.
AppControlCodeIntegrityPolicyLoaded 3099 Gibt an, dass eine Richtlinie erfolgreich geladen wurde.
AppControlCodeIntegritySigningInformation 3089 Signaturinformationsereignis, das mit einem 3076- oder 3077-Ereignis korreliert ist. Für jede Signatur einer Datei wird ein 3089-Ereignis generiert.
AppControlPolicyApplied 8001 Gibt an, dass die AppLocker-Richtlinie erfolgreich auf den Computer angewendet wurde.

Weitere Informationen zu den App Control-Ereignis-IDs verstehen (Windows)

Beispielabfragen für erweitertes Hunting-App-Steuerelement

Abfragebeispiel 1: Abfragen der App Control-Aktionstypen, zusammengefasst nach Typ der letzten sieben Tage

Hier ist eine einfache Beispielabfrage, die alle App Control for Business-Ereignisse zeigt, die in den letzten sieben Tagen von Computern generiert wurden, die von Microsoft Defender for Endpoint überwacht werden:

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Die Abfrageergebnisse können für mehrere wichtige Funktionen im Zusammenhang mit der Verwaltung von App Control for Business verwendet werden, einschließlich:

  • Bewerten der Auswirkungen der Bereitstellung von Richtlinien im Überwachungsmodus Da Anwendungen weiterhin im Überwachungsmodus ausgeführt werden, ist dies eine ideale Möglichkeit, um die Auswirkungen und die Richtigkeit der in der Richtlinie enthaltenen Regeln zu sehen. Die Integration der generierten Ereignisse in die erweiterte Suche erleichtert es ihnen, umfassende Bereitstellungen von Überwachungsmodusrichtlinien zu erstellen und zu sehen, wie sich die enthaltenen Regeln auf diese Systeme in der realen Nutzung auswirken würden. Diese Überwachungsmodusdaten helfen dabei, den Übergang zur Verwendung von Richtlinien im erzwungenen Modus zu optimieren.
  • Überwachen von Blöcken von Richtlinien im erzwungenen Modus Richtlinien, die im erzwungenen Modus bereitgestellt werden, können ausführbare Dateien oder Skripts blockieren, die keine der enthaltenen Zulassungsregeln erfüllen. Legitime neue Anwendungen und Updates oder potenziell unerwünschte oder bösartige Software könnten blockiert werden. In beiden Fällen melden die Abfragen der erweiterten Suche die Blöcke zur weiteren Untersuchung.

Abfragebeispiel 2: Abfrage zum Ermitteln von Überwachungsblöcken in den letzten sieben Tagen

DeviceEvents
| where ActionType startswith "AppControlExecutableAudited"
| where Timestamp > ago(7d)
|project DeviceId,                               // the device ID where the audit block happened
FileName,                                        // The audit blocked app's filename
FolderPath,                                      // The audit blocked app's system path without the FileName
InitiatingProcessFileName,                       // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName,         // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName,    // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName,         // The product name of the parent process loading the executable
InitiatingProcessSHA256,                         // The SHA256 flat hash of the parent process loading the executable
Timestamp,                                       // The event creation timestamp
ReportId,                                        // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion,      // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription,     // The file description of the parent process loading the executable
AdditionalFields                                 // Additional fields contains FQBN for signed binaries.  These contain the CN of the leaf certificate, product name, original filename and version of the audited binary