Zentrales Abfragen von Anwendungssteuerungsereignissen mithilfe der erweiterten Suche
Eine Windows Defender Anwendungssteuerungsrichtlinie (WDAC) protokolliert Ereignisse lokal in Windows Ereignisanzeige entweder im erzwungenen modus oder im Überwachungsmodus. Während Ereignisanzeige hilft, die Auswirkungen auf ein einzelnes System zu erkennen, möchten IT-Experten dies über viele Systeme hinweg messen.
Im November 2018 haben wir funktionen in Microsoft Defender for Endpoint hinzugefügt, die es einfach macht, WDAC-Ereignisse zentral von allen verbundenen Systemen aus anzuzeigen.
Die erweiterte Suche in Microsoft Defender for Endpoint ermöglicht Kunden das Abfragen von Daten mit einer Vielzahl von Funktionen. WDAC-Ereignisse können mit einem ActionType abgefragt werden, der mit "AppControl" beginnt. Diese Funktion wird ab Windows Version 1607 unterstützt.
Aktionstypen
| ActionType Name | ETW-Quellereignis-ID | Beschreibung |
|---|---|---|
| AppControlCodeIntegrityDriverRevoked | 3023 | Die Treiberdatei, die überprüft wird, erfüllte nicht die Anforderungen zum Bestehen der Anwendungssteuerungsrichtlinie. |
| AppControlCodeIntegrityImageRevoked | 3036 | Die signierte Datei, die überprüft wird, wird von einem Codesignaturzertifikat signiert, das von Microsoft oder der Zertifizierungsstelle widerrufen wurde. |
| AppControlCodeIntegrityPolicyAudited | 3076 | Dieses Ereignis ist das Standard Windows Defender Anwendungssteuerungsblockereignis für Überwachungsmodusrichtlinien. Es gibt an, dass die Datei blockiert worden wäre, wenn die WDAC-Richtlinie erzwungen wurde. |
| AppControlCodeIntegrityPolicyBlocked | 3077 | Dieses Ereignis ist das Standard Windows Defender Anwendungssteuerungsblockereignis für erzwungene Richtlinien. Dies weist darauf hin, dass die Datei Ihre WDAC-Richtlinie nicht bestanden und blockiert wurde. |
| AppControlExecutableAudited | 8003 | Wird nur angewendet, wenn der Erzwingungsmodus Nur überwachen aktiviert ist. Gibt an, .exe oder .dll Datei blockiert würde, wenn der Erzwingungsmodus "Regeln erzwingen" aktiviert wäre. |
| AppControlExecutableBlocked | 8004 | Die .exe- oder .dll datei kann nicht ausgeführt werden. |
| AppControlPackagedAppAudited | 8021 | Wird nur angewendet, wenn der Erzwingungsmodus Nur überwachen aktiviert ist. Gibt an, dass die gepackte App blockiert wird, wenn der Erzwingungsmodus "Regeln erzwingen" aktiviert wäre. |
| AppControlPackagedAppBlocked | 8022 | Die gepackte App wurde durch die Richtlinie blockiert. |
| AppControlScriptAudited | 8006 | Wird nur angewendet, wenn der Erzwingungsmodus Nur überwachen aktiviert ist. Gibt an, dass das Skript oder .msi Datei blockiert wird, wenn der Erzwingungsmodus "Regeln erzwingen" aktiviert wäre. |
| AppControlScriptBlocked | 8007 | Der Zugriff auf den Dateinamen wird vom Administrator eingeschränkt. Wird nur angewendet, wenn der Erzwingungsmodus Regeln erzwingen entweder direkt oder indirekt durch Gruppenrichtlinie Vererbung festgelegt wird. Das Skript oder die .msi-Datei kann nicht ausgeführt werden. |
| AppControlCIScriptAudited | 8028 | Überwachungsskript-/MSI-Datei, die von der Windows LockDown-Richtlinie (WLDP) generiert wird, die von den Skripthosts selbst aufgerufen wird. |
| AppControlCIScriptBlocked | 8029 | Blockieren Sie skript-/MSI-Datei, die von der Windows-Sperrdownrichtlinie (WLDP) generiert wird, die von den Skripthosts selbst aufgerufen wird. |
| AppControlCodeIntegrityOriginAllowed | 3090 | Die Datei wurde aufgrund eines guten Rufs (ISG) oder der Installationsquelle (verwaltetes Installationsprogramm) zugelassen. |
| AppControlCodeIntegrityOriginAudited | 3091 | Informationen zu Reputation (ISG) und Installationsquelle (verwaltetes Installationsprogramm) für eine überwachte Datei. |
| AppControlCodeIntegrityOriginBlocked | 3092 | Informationen zu Reputation (ISG) und Installationsquelle (verwaltetes Installationsprogramm) für eine blockierte Datei. |
| AppControlCodeIntegrityPolicyLoaded | 3099 | Gibt an, dass eine Richtlinie erfolgreich geladen wurde. |
| AppControlCodeIntegritySigningInformation | 3089 | Signaturinformationsereignis, das mit einem 3076- oder 3077-Ereignis korreliert ist. Für jede Signatur einer Datei wird ein 3089-Ereignis generiert. |
| AppControlPolicyApplied | 8001 | Gibt an, dass die AppLocker-Richtlinie erfolgreich auf den Computer angewendet wurde. |
Weitere Informationen zu den Ereignis-IDs der Anwendungssteuerung (Windows)
Beispielabfragen für die erweiterte Suche von Anwendungssteuerelementen
Abfragebeispiel 1: Abfragen der Anwendungssteuerungsaktionstypen, zusammengefasst nach Typ der letzten sieben Tage
Hier ist eine einfache Beispielabfrage, die alle Windows Defender Application Control-Ereignisse zeigt, die in den letzten sieben Tagen von Computern generiert wurden, die von Microsoft Defender for Endpoint überwacht werden:
DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc
Die Abfrageergebnisse können für mehrere wichtige Funktionen im Zusammenhang mit der Verwaltung Windows Defender Anwendungssteuerung verwendet werden, einschließlich:
- Bewerten der Auswirkungen der Bereitstellung von Richtlinien im Überwachungsmodus Da Anwendungen weiterhin im Überwachungsmodus ausgeführt werden, ist dies eine ideale Möglichkeit, um die Auswirkungen und die Richtigkeit der in der Richtlinie enthaltenen Regeln zu sehen. Die Integration der generierten Ereignisse in die erweiterte Suche erleichtert es ihnen, umfassende Bereitstellungen von Überwachungsmodusrichtlinien zu erstellen und zu sehen, wie sich die enthaltenen Regeln auf diese Systeme in der realen Nutzung auswirken würden. Diese Überwachungsmodusdaten helfen dabei, den Übergang zur Verwendung von Richtlinien im erzwungenen Modus zu optimieren.
- Überwachen von Blöcken von Richtlinien im erzwungenen Modus Richtlinien, die im erzwungenen Modus bereitgestellt werden, können ausführbare Dateien oder Skripts blockieren, die keine der enthaltenen Zulassungsregeln erfüllen. Legitime neue Anwendungen und Updates oder potenziell unerwünschte oder bösartige Software könnten blockiert werden. In beiden Fällen melden die Abfragen der erweiterten Suche die Blöcke zur weiteren Untersuchung.
Abfragebeispiel 2: Abfrage zum Ermitteln von Überwachungsblöcken in den letzten sieben Tagen
DeviceEvents
| where ActionType startswith "AppControlExecutableAudited"
| where Timestamp > ago(7d)
|project DeviceId, // the device ID where the audit block happened
FileName, // The audit blocked app's filename
FolderPath, // The audit blocked app's system path without the FileName
InitiatingProcessFileName, // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName, // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName, // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName, // The product name of the parent process loading the executable
InitiatingProcessSHA256, // The SHA256 flat hash of the parent process loading the executable
Timestamp, // The event creation timestamp
ReportId, // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion, // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription, // The file description of the parent process loading the executable
AdditionalFields // Additional fields contains FQBN for signed binaries. These contain the CN of the leaf certificate, product name, original filename and version of the audited binary
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für