Compartilhar via


Consultar eventos do Controlo de Aplicações centralmente com a Investigação avançada

Uma política do Controlo de Aplicações para Empresas regista eventos localmente no Windows Visualizador de Eventos no modo imposto ou de auditoria. Embora Visualizador de Eventos ajude a ver o impacto num único sistema, os Profissionais de TI querem avaliá-lo em muitos sistemas.

Em novembro de 2018, adicionámos funcionalidades no Microsoft Defender para Ponto de Extremidade que facilitam a visualização de eventos do Controlo de Aplicações centralmente a partir de todos os sistemas ligados.

A investigação avançada no Microsoft Defender para Ponto de Extremidade permite que os clientes consultem dados através de um conjunto avançado de capacidades. Os eventos do Controlo de Aplicações podem ser consultados através de um ActionType que começa com "AppControl". Esta capacidade é suportada a partir da versão 1607 do Windows.

Tipos de Ação

Nome do ActionType ID do Evento de Origem etw Descrição
AppControlCodeIntegrityDriverRevoked 3023 O ficheiro de controlador em validação não cumpriu os requisitos para passar a política de Controlo de Aplicações.
AppControlCodeIntegrityImageRevoked 3036 O ficheiro assinado sob validação é assinado por um certificado de assinatura de código que foi revogado pela Microsoft ou pela autoridade emissora de certificados.
AppControlCodeIntegrityPolicyAudited 3076 Este evento é o main evento de bloqueio do Controlo de Aplicações para Empresas para políticas de modo de auditoria. Indica que o ficheiro teria sido bloqueado se a política de Controlo de Aplicações fosse imposta.
AppControlCodeIntegrityPolicyBlocked 3077 Este evento é o main evento de bloqueio do Controlo de Aplicações para Empresas para políticas impostas. Indica que o ficheiro não passou na política de Controlo de Aplicações e foi bloqueado.
AppControlExecutableAudited 8003 Aplicado apenas quando o modo de imposição Apenas auditoria está ativado. Especifica que o ficheiro .exe ou .dll seria bloqueado se o modo de imposição impor regras estivesse ativado.
AppControlExecutableBlocked 8004 O ficheiro .exe ou .dll não pode ser executado.
AppControlPackagedAppAudited 8021 Aplicado apenas quando o modo de imposição Apenas auditoria está ativado. Especifica que a aplicação em pacote seria bloqueada se o modo de imposição Impor regras estivesse ativado.
AppControlPackagedAppBlocked 8022 A aplicação em pacote foi bloqueada pela política.
AppControlScriptAudited 8006 Aplicado apenas quando o modo de imposição Apenas auditoria está ativado. Especifica o script ou .msi ficheiro seria bloqueado se o modo de imposição Impor regras estivesse ativado.
AppControlScriptBlocked 8007 O acesso ao nome de ficheiro é restringido pelo administrador. Aplicado apenas quando o modo de imposição Impor regras é definido direta ou indiretamente através Política de Grupo herança. Não é possível executar o script ou .msi ficheiro.
AppControlCIScriptAudited 8028 Script de auditoria/ficheiro MSI gerado pela Política de Bloqueio do Windows (WLDP) que está a ser chamada pelos próprios anfitriões de script.
AppControlCIScriptBlocked 8029 Bloquear script/ficheiro MSI gerado pela Política de Bloqueio do Windows (WLDP) a ser chamado pelos próprios anfitriões de script.
AppControlCodeIntegrityOriginAllowed 3090 O ficheiro foi permitido devido à boa reputação (ISG) ou à origem de instalação (instalador gerido).
AppControlCodeIntegrityOriginAudited 3091 Informações de reputação (ISG) e de origem de instalação (instalador gerido) para um ficheiro auditado.
AppControlCodeIntegrityOriginBlocked 3092 Informações de reputação (ISG) e de origem de instalação (instalador gerido) para um ficheiro bloqueado.
AppControlCodeIntegrityPolicyLoaded 3099 Indica que uma política foi carregada com êxito.
AppControlCodeIntegritySigningInformation 3089 Evento de informações de assinatura correlacionado com um evento 3076 ou 3077. É gerado um evento 3089 para cada assinatura de um ficheiro.
AppControlPolicyApplied 8001 Indica que a política appLocker foi aplicada com êxito ao computador.

Saiba mais sobre os IDs de eventos do Controlo de Aplicações (Windows)

Exemplo de Consultas Avançadas de Controlo de Aplicações de Investigação

Exemplo de Consulta 1: Consultar os tipos de ações do Controlo de Aplicações resumidos por tipo nos últimos sete dias

Eis uma consulta de exemplo simples que mostra todos os eventos do Controlo de Aplicações para Empresas gerados nos últimos sete dias a partir de máquinas a serem monitorizadas por Microsoft Defender para Ponto de Extremidade:

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Os resultados da consulta podem ser utilizados para várias funções importantes relacionadas com a gestão do Controlo de Aplicações para Empresas, incluindo:

  • Avaliar o impacto da implementação de políticas no modo de auditoria Uma vez que as aplicações ainda são executadas no modo de auditoria, é a forma ideal de ver o impacto e a correção das regras incluídas na política. Integrar os eventos gerados com a Investigação Avançada torna muito mais fácil ter implementações abrangentes de políticas de modo de auditoria e ver como as regras incluídas influenciariam esses sistemas na utilização do mundo real. Estes dados do modo de auditoria ajudarão a simplificar a transição para a utilização de políticas no modo imposto.
  • Monitorizar blocos de políticas no modo imposto As políticas implementadas no modo imposto podem bloquear executáveis ou scripts que não cumpram qualquer uma das regras de permissão incluídas. Podem ser bloqueadas novas aplicações e atualizações legítimas ou software potencialmente indesejável ou malicioso. Em ambos os casos, as consultas de investigação avançadas comunicam os blocos para uma investigação mais aprofundada.

Exemplo de Consulta n.º 2: Consulta para determinar os blocos de auditoria nos últimos sete dias

DeviceEvents
| where ActionType startswith "AppControlExecutableAudited"
| where Timestamp > ago(7d)
|project DeviceId,                               // the device ID where the audit block happened
FileName,                                        // The audit blocked app's filename
FolderPath,                                      // The audit blocked app's system path without the FileName
InitiatingProcessFileName,                       // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName,         // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName,    // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName,         // The product name of the parent process loading the executable
InitiatingProcessSHA256,                         // The SHA256 flat hash of the parent process loading the executable
Timestamp,                                       // The event creation timestamp
ReportId,                                        // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion,      // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription,     // The file description of the parent process loading the executable
AdditionalFields                                 // Additional fields contains FQBN for signed binaries.  These contain the CN of the leaf certificate, product name, original filename and version of the audited binary