Freigeben über

Erstellen von App-Steuerelementrichtlinienregeln aus App-Steuerelementereignissen im Assistenten

Hinweis

Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.

Ab Version 2.2.0.0 unterstützt der App-Steuerelement-Assistent das Erstellen von App Control-Richtlinienregeln aus den folgenden Ereignisprotokolltypen:

  1. App Control-Ereignisprotokollereignisse auf dem System
  2. Exportierte App Control-Ereignisse (EVTX-Dateien) aus einem beliebigen System
  3. Exportierte App-Steuerelementereignisse aus MDE Erweiterten Suche

App Control Ereignisanzeige Protokollanalyse

So erstellen Sie Regeln aus den App Control-Ereignisprotokollen auf dem System:

  1. Wählen Sie auf der Seite Standard richtlinien Editor aus.

  2. Wählen Sie Ereignisprotokoll in eine App-Steuerungsrichtlinie konvertieren aus.

  3. Wählen Sie im Header System Ereignisanzeige to Policy unter Parse Event Logs (Ereignisprotokolle analysieren) die Schaltfläche Parse Event Logs (Ereignisprotokolle analysieren) aus.

    Der Assistent analysiert die relevanten Überwachungs- und Blockereignisse aus den Protokollen CodeIntegrity (App Control) Operational und AppLocker MSI und Script. Es wird eine Benachrichtigung angezeigt, wenn der Assistent das Lesen der Ereignisse erfolgreich abgeschlossen hat.

    Analysieren von App Control- und AppLocker-Ereignisprotokollsystemereignissen.

  4. Wählen Sie die Schaltfläche Weiter aus, um die Überwachungs- und Blockereignisse anzuzeigen und Regeln zu erstellen.

  5. Generieren Sie Regeln aus den Ereignissen.

Analyse von App Control-Ereignisprotokolldateien

So erstellen Sie Regeln aus den App Control-Ereignisprotokolldateien .EVTX auf dem System:

  1. Wählen Sie auf der Seite Standard richtlinien Editor aus.

  2. Wählen Sie Ereignisprotokoll in eine App-Steuerungsrichtlinie konvertieren aus.

  3. Wählen Sie die Schaltfläche Parse Log File(s) (Protokolldateien analysieren) unter dem Header Ereignisprotokoll evtx Files to Policy aus.

  4. Wählen Sie die EVTX-Datei(en) des App Control CodeIntegrity-Ereignisprotokolls vom Datenträger aus, um sie zu analysieren.

    Der Assistent analysiert die relevanten Überwachungs- und Blockereignisse aus den ausgewählten Protokolldateien. Es wird eine Benachrichtigung angezeigt, wenn der Assistent das Lesen der Ereignisse erfolgreich abgeschlossen hat.

    Analysieren von App Control-Ereignissen in der evtx-Datei

  5. Wählen Sie die Schaltfläche Weiter aus, um die Überwachungs- und Blockereignisse anzuzeigen und Regeln zu erstellen.

  6. Generieren Sie Regeln aus den Ereignissen.

MDE Advanced Hunting App Control Event Parsing

So erstellen Sie Regeln aus den App Control-Ereignissen in MDE Erweiterten Hunting:

  1. Navigieren Sie in der MDE-Konsole zum Abschnitt Erweiterte Suche, und fragen Sie die App Control-Ereignisse ab. Der Assistent erfordert die folgenden Felder im Csv-Dateiexport der erweiterten Suche:

    | project-keep Timestamp, DeviceId, DeviceName, ActionType, FileName, FolderPath, SHA1, SHA256, IssuerName, IssuerTBSHash, PublisherName, PublisherTBSHash, AuthenticodeHash, PolicyId, PolicyName

    Die folgende Abfrage für die erweiterte Suche wird empfohlen:

    DeviceEvents
// Take only App Control events
| where ActionType startswith 'AppControlCodeIntegrity'
// SigningInfo Fields
| extend IssuerName = parsejson(AdditionalFields).IssuerName
| extend IssuerTBSHash = parsejson(AdditionalFields).IssuerTBSHash
| extend PublisherName = parsejson(AdditionalFields).PublisherName
| extend PublisherTBSHash = parsejson(AdditionalFields).PublisherTBSHash
// Audit/Block Fields
| extend AuthenticodeHash = parsejson(AdditionalFields).AuthenticodeHash
| extend PolicyId = parsejson(AdditionalFields).PolicyID
| extend PolicyName = parsejson(AdditionalFields).PolicyName
// Keep only required fields for the App Control Wizard
| project-keep Timestamp,DeviceId,DeviceName,ActionType,FileName,FolderPath,SHA1,SHA256,IssuerName,IssuerTBSHash,PublisherName,PublisherTBSHash,AuthenticodeHash,PolicyId,PolicyName

  2. Exportieren Sie die App Control-Ereignisergebnisse, indem Sie in der Ergebnisansicht auf die Schaltfläche Exportieren klicken.

    Exportieren der Ergebnisse der MDE Erweiterten Suche in csv

  3. Wählen Sie auf der Seite Standard richtlinien Editor aus.

  4. Wählen Sie Ereignisprotokoll in eine App-Steuerungsrichtlinie konvertieren aus.

  5. Wählen Sie die Schaltfläche Protokolldatei(en) analysieren unter der Kopfzeile "Parse MDE Advanced Hunting Events to Policy" aus.

  6. Wählen Sie das App-Steuerelement MDE Erweiterte Suche CSV-Dateien vom Datenträger exportieren, um sie zu analysieren.

    Der Assistent analysiert die relevanten Überwachungs- und Blockereignisse aus den ausgewählten Protokolldateien für die erweiterte Suche. Es wird eine Benachrichtigung angezeigt, wenn der Assistent das Lesen der Ereignisse erfolgreich abgeschlossen hat.

    Analysieren Sie die Csv-App-Steuerelement-Ereignisdateien für die erweiterte Suche.

  7. Wählen Sie die Schaltfläche Weiter aus, um die Überwachungs- und Blockereignisse anzuzeigen und Regeln zu erstellen.

  8. Generieren Sie Regeln aus den Ereignissen.

Erstellen von Richtlinienregeln aus den Ereignissen

Auf der Seite "Ereignisprotokollregeln konfigurieren" werden die eindeutigen App Control-Protokollereignisse in der Tabelle angezeigt. Ereignis-IDs, Dateinamen, Produktnamen, der Richtlinienname, der die Datei überwacht oder blockiert hat, und der Dateiherausgeber werden in der Tabelle angezeigt. Die Tabelle kann alphabetisch sortiert werden, indem Sie auf eine der Kopfzeilen klicken.

So erstellen Sie eine Regel und fügen sie der App-Steuerungsrichtlinie hinzu:

  1. Wählen Sie ein Überwachungs- oder Blockereignis in der Tabelle aus, indem Sie die gewünschte Zeile auswählen.

  2. Wählen Sie in der Dropdownliste einen Regeltyp aus. Der Assistent unterstützt das Erstellen von Herausgeber-, Pfad-, Dateiattribute-, Paket-App- und Hashregeln.

  3. Wählen Sie die Attribute und Felder aus, die den Richtlinienregeln hinzugefügt werden sollen, indem Sie die für den Regeltyp bereitgestellten Kontrollkästchen verwenden.

  4. Wählen Sie die Schaltfläche Zulassungsregel hinzufügen aus, um die konfigurierte Regel der vom Assistenten generierten Richtlinie hinzuzufügen. Die Bezeichnung "Zur Richtlinie hinzugefügt" wird in der ausgewählten Zeile angezeigt, um zu bestätigen, dass die Regel generiert wird.

    Hinzufügen einer Herausgeberregel zur App-Steuerungsrichtlinie

  5. Wählen Sie die Schaltfläche Weiter aus, um die Richtlinie auszugeben. Nach der Generierung sollte die Ereignisprotokollrichtlinie mit Ihren Basisrichtlinien oder zusätzlichen Richtlinien zusammengeführt werden.

Warnung

Es wird nicht empfohlen, die Ereignisprotokollrichtlinie selbst bereitzustellen, da es wahrscheinlich keine Regeln zum Autorisieren von Windows gibt und bluescreens auftreten können.

Weiter oben