Partager via


Interrogation centralisée des événements App Control à l’aide de la chasse avancée

Une stratégie App Control for Business enregistre les événements localement dans Windows observateur d'événements en mode appliqué ou audit. Bien que observateur d'événements aide à voir l’impact sur un système unique, les professionnels de l’informatique souhaitent l’évaluer sur de nombreux systèmes.

En novembre 2018, nous avons ajouté des fonctionnalités dans Microsoft Defender pour point de terminaison qui facilitent l’affichage centralisé des événements App Control à partir de tous les systèmes connectés.

La chasse avancée dans Microsoft Defender pour point de terminaison permet aux clients d’interroger des données à l’aide d’un ensemble complet de fonctionnalités. Les événements App Control peuvent être interrogés avec à l’aide d’un ActionType qui commence par « AppControl ». Cette fonctionnalité est prise en charge à partir de la version 1607 de Windows.

Types d’actions

Nom du type d’action ID d’événement source ETW Description
AppControlCodeIntegrityDriverRevoked 3023 Le fichier de pilote en cours de validation ne répondait pas aux conditions requises pour passer la stratégie App Control.
AppControlCodeIntegrityImageRevoked 3036 Le fichier signé en cours de validation est signé par un certificat de signature de code qui a été révoqué par Microsoft ou l’autorité émettrice du certificat.
AppControlCodeIntegrityPolicyAudited 3076 Cet événement est l’événement de bloc main App Control for Business pour les stratégies en mode audit. Cela indique que le fichier aurait été bloqué si la stratégie De contrôle d’application avait été appliquée.
AppControlCodeIntegrityPolicyBlocked 3077 Cet événement est l’événement de bloc main App Control for Business pour les stratégies appliquées. Cela indique que le fichier n’a pas réussi votre stratégie De contrôle d’application et qu’il a été bloqué.
AppControlExecutableAudited 8003 Appliqué uniquement lorsque le mode d’application Auditer uniquement est activé. Spécifie que le fichier .exe ou .dll serait bloqué si le mode d’application Appliquer les règles était activé.
AppControlExecutableBlocked 8004 Le fichier .exe ou .dll ne peut pas s’exécuter.
AppControlPackagedAppAudited 8021 Appliqué uniquement lorsque le mode d’application Auditer uniquement est activé. Spécifie que l’application empaquetée serait bloquée si le mode d’application Appliquer les règles était activé.
AppControlPackagedAppBlocked 8022 L’application empaquetée a été bloquée par la stratégie.
AppControlScriptAudited 8006 Appliqué uniquement lorsque le mode d’application Auditer uniquement est activé. Spécifie que le script ou le fichier .msi serait bloqué si le mode d’application Appliquer des règles était activé.
AppControlScriptBlocked 8007 L’accès au nom de fichier est limité par l’administrateur. Appliqué uniquement lorsque le mode d’application Appliquer les règles est défini directement ou indirectement via stratégie de groupe héritage. Le script ou le fichier .msi ne peut pas s’exécuter.
AppControlCIScriptAudited 8028 Auditer le script/fichier MSI généré par la stratégie de verrouillage Windows (WLDP) appelé par les hôtes de script eux-mêmes.
AppControlCIScriptBlocked 8029 Bloquer le script/fichier MSI généré par la stratégie de verrouillage Windows (WLDP) appelé par les hôtes de script eux-mêmes.
AppControlCodeIntegrityOriginAllowed 3090 Le fichier a été autorisé en raison d’une bonne réputation (ISG) ou d’une source d’installation (programme d’installation managé).
AppControlCodeIntegrityOriginAudited 3091 Informations de réputation (ISG) et de source d’installation (programme d’installation managé) pour un fichier audité.
AppControlCodeIntegrityOriginBlocked 3092 Informations de réputation (ISG) et de source d’installation (programme d’installation managé) pour un fichier bloqué.
AppControlCodeIntegrityPolicyLoaded 3099 Indique qu’une stratégie a été correctement chargée.
AppControlCodeIntegritySigningInformation 3089 Événement d’informations de signature corrélé à un événement 3076 ou 3077. Un événement 3089 est généré pour chaque signature d’un fichier.
AppControlPolicyApplied 8001 Indique que la stratégie AppLocker a été correctement appliquée à l’ordinateur.

En savoir plus sur la présentation des ID d’événement App Control (Windows)

Exemples de requêtes de contrôle d’application de chasse avancées

Exemple de requête 1 : Interroger les types d’actions De contrôle d’application résumés par type pour les sept derniers jours

Voici un exemple de requête simple qui montre tous les événements App Control for Business générés au cours des sept derniers jours à partir de machines surveillées par Microsoft Defender pour point de terminaison :

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Les résultats de la requête peuvent être utilisés pour plusieurs fonctions importantes liées à la gestion d’App Control for Business, notamment :

  • Évaluation de l’impact du déploiement de stratégies en mode audit Étant donné que les applications s’exécutent toujours en mode audit, il s’agit d’un moyen idéal de voir l’impact et l’exactitude des règles incluses dans la stratégie. L’intégration des événements générés avec advanced hunting facilite considérablement les déploiements étendus de stratégies de mode d’audit et de voir comment les règles incluses influencent ces systèmes dans l’utilisation réelle. Ces données du mode d’audit vous aideront à simplifier la transition vers l’utilisation de stratégies en mode appliqué.
  • Surveillance des blocs à partir de stratégies en mode appliqué Les stratégies déployées en mode appliqué peuvent bloquer les exécutables ou les scripts qui ne répondent pas aux règles d’autorisation incluses. Les nouvelles applications et mises à jour légitimes ou les logiciels potentiellement indésirables ou malveillants peuvent être bloqués. Dans les deux cas, les requêtes de chasse avancées signalent les blocs pour une investigation plus approfondie.

Exemple de requête n°2 : Requête pour déterminer les blocs d’audit au cours des sept derniers jours

DeviceEvents
| where ActionType startswith "AppControlExecutableAudited"
| where Timestamp > ago(7d)
|project DeviceId,                               // the device ID where the audit block happened
FileName,                                        // The audit blocked app's filename
FolderPath,                                      // The audit blocked app's system path without the FileName
InitiatingProcessFileName,                       // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName,         // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName,    // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName,         // The product name of the parent process loading the executable
InitiatingProcessSHA256,                         // The SHA256 flat hash of the parent process loading the executable
Timestamp,                                       // The event creation timestamp
ReportId,                                        // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion,      // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription,     // The file description of the parent process loading the executable
AdditionalFields                                 // Additional fields contains FQBN for signed binaries.  These contain the CN of the leaf certificate, product name, original filename and version of the audited binary