Централизованное выполнение запросов к событиям элемента управления приложениями с помощью расширенной охоты
Политика управления приложениями для бизнеса регистрирует события локально в Windows Просмотр событий в принудительном режиме или режиме аудита. Хотя Просмотр событий помогает увидеть влияние на одну систему, ИТ-специалисты хотят оценить его во многих системах.
В ноябре 2018 г. мы добавили в Microsoft Defender для конечной точки функциональные возможности, которые упрощают централизованное просмотр событий управления приложениями из всех подключенных систем.
Расширенная охота в Microsoft Defender для конечной точки позволяет клиентам запрашивать данные, используя широкий набор возможностей. События элемента управления приложениями можно запрашивать с помощью ActionType, который начинается с "AppControl". Эта возможность поддерживается начиная с Windows версии 1607.
Типы действий
| Имя ActionType | Идентификатор исходного события трассировки событий Windows | Описание |
|---|---|---|
| AppControlCodeIntegrityDriverRevoked | 3023 | Файл драйвера, который проходит проверку, не соответствует требованиям для передачи политики управления приложениями. |
| AppControlCodeIntegrityImageRevoked | 3036 | Подписанный файл под проверкой подписывается сертификатом подписи кода, который был отозван корпорацией Майкрософт или центром выдачи сертификата. |
| AppControlCodeIntegrityPolicyAudited | 3076 | Это событие является событием блока управления приложениями для бизнеса main для политик режима аудита. Он указывает, что файл был бы заблокирован, если бы была применена политика управления приложениями. |
| AppControlCodeIntegrityPolicyBlocked | 3077 | Это событие является событием блока управления приложениями main для бизнеса для принудительных политик. Это означает, что файл не прошел политику управления приложениями и был заблокирован. |
| AppControlExecutableAudited | 8003 | Применяется, только если включен режим принудительного применения только аудита. Указывает, что файл .exe или .dll будет заблокирован, если был включен режим принудительного применения правил. |
| AppControlExecutableBlocked | 8004 | Не удается запустить файл .exe или .dll. |
| AppControlPackagedAppAudited | 8021 | Применяется, только если включен режим принудительного применения только аудита. Указывает, что упакованое приложение будет заблокировано, если был включен режим принудительного применения правил. |
| AppControlPackagedAppBlocked | 8022 | Упаковаемое приложение было заблокировано политикой. |
| AppControlScriptAudited | 8006 | Применяется, только если включен режим принудительного применения только аудита. Указывает, что файл скрипта или .msi будет заблокирован, если включен режим принудительного применения правил. |
| AppControlScriptBlocked | 8007 | Доступ к имени файла ограничен администратором. Применяется только в том случае, если режим принудительного применения правил прямо или косвенно задан через групповая политика наследование. Не удается запустить скрипт или файл .msi. |
| AppControlCIScriptAudited | 8028 | Скрипт аудита или MSI-файл, созданный политикой блокировки Windows (WLDP), вызывается самими узлами скриптов. |
| AppControlCIScriptBlocked | 8029 | Блокировка скрипта или MSI-файла, созданного политикой блокировки Windows (WLDP), вызываемого самими узлами скриптов. |
| AppControlCodeIntegrityOriginAllowed | 3090 | Файл был разрешен из-за хорошей репутации (ISG) или источника установки (управляемого установщика). |
| AppControlCodeIntegrityOriginAudited | 3091 | Сведения о репутации (ISG) и источнике установки (управляемом установщике) для проверяемого файла. |
| AppControlCodeIntegrityOriginBlocked | 3092 | Сведения о репутации (ISG) и источнике установки (управляемом установщике) для заблокированного файла. |
| AppControlCodeIntegrityPolicyLoaded | 3099 | Указывает, что политика успешно загружена. |
| AppControlCodeIntegritySigningInformation | 3089 | Событие сведений о подписи коррелирует с событием 3076 или 3077. Для каждой сигнатуры файла создается одно событие 3089. |
| AppControlPolicyApplied | 8001 | Указывает, что политика AppLocker успешно применена к компьютеру. |
Дополнительные сведения об идентификаторах событий управления приложениями (Windows)
Примеры запросов расширенной охоты на управление приложениями
Пример запроса 1. Запрос типов действий элемента управления приложениями, сводных по типу за последние семь дней
Ниже приведен простой пример запроса, который показывает все события элемента управления приложениями для бизнеса, созданные за последние семь дней на компьютерах, отслеживаемых Microsoft Defender для конечной точки:
DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc
Результаты запроса можно использовать для нескольких важных функций, связанных с управлением элементом управления приложениями для бизнеса, включая:
- Оценка влияния развертывания политик в режиме аудита. Так как приложения по-прежнему выполняются в режиме аудита, это идеальный способ увидеть влияние и правильность правил, включенных в политику. Интеграция созданных событий с Advanced Hunting значительно упрощает широкое развертывание политик режима аудита и позволяет увидеть, как включенные правила повлияют на эти системы в реальном использовании. Данные этого режима аудита помогут упростить переход на использование политик в принудительном режиме.
- Мониторинг блокирует политики в принудительном режиме Политики, развернутые в принудительном режиме, могут блокировать исполняемые файлы или скрипты, которые не соответствуют ни одному из включенных правил разрешения. Допустимые новые приложения и обновления или потенциально нежелательные или вредоносные программы могут быть заблокированы. В любом случае запросы расширенной охоты сообщают о блоках для дальнейшего изучения.
Пример запроса 2. Запрос для определения блоков аудита за последние семь дней
DeviceEvents
| where ActionType startswith "AppControlExecutableAudited"
| where Timestamp > ago(7d)
|project DeviceId, // the device ID where the audit block happened
FileName, // The audit blocked app's filename
FolderPath, // The audit blocked app's system path without the FileName
InitiatingProcessFileName, // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName, // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName, // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName, // The product name of the parent process loading the executable
InitiatingProcessSHA256, // The SHA256 flat hash of the parent process loading the executable
Timestamp, // The event creation timestamp
ReportId, // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion, // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription, // The file description of the parent process loading the executable
AdditionalFields // Additional fields contains FQBN for signed binaries. These contain the CN of the leaf certificate, product name, original filename and version of the audited binary