Consulta de eventos de Application Control de forma centralizada mediante la búsqueda avanzada
Una directiva de control de aplicaciones de Windows Defender (WDAC) registra eventos localmente en Windows Visor de eventos en modo aplicado o de auditoría. Aunque Visor de eventos ayuda a ver el impacto en un único sistema, los profesionales de TI quieren medirlo en muchos sistemas.
En noviembre de 2018, agregamos funcionalidad en Microsoft Defender para punto de conexión que facilita la visualización de eventos WDAC de forma centralizada desde todos los sistemas conectados.
La búsqueda avanzada en Microsoft Defender para punto de conexión permite a los clientes consultar datos mediante un amplio conjunto de funcionalidades. Los eventos WDAC se pueden consultar mediante un actiontype que comienza por "AppControl". Esta funcionalidad se admite a partir de la versión 1607 de Windows.
Tipos de acción
| Nombre de ActionType | Id. de evento de origen etw | Descripción |
|---|---|---|
| AppControlCodeIntegrityDriverRevoked | 3023 | El archivo de controladores en validación no cumplió los requisitos para pasar la directiva de control de aplicaciones. |
| AppControlCodeIntegrityImageRevoked | 3036 | El archivo firmado en validación está firmado por un certificado de firma de código revocado por Microsoft o la entidad emisora de certificados. |
| AppControlCodeIntegrityPolicyAudited | 3076 | Este evento es el principal evento de bloque Windows Defender Control de aplicaciones para las directivas de modo de auditoría. Indica que el archivo se habría bloqueado si se aplicara la directiva WDAC. |
| AppControlCodeIntegrityPolicyBlocked | 3077 | Este evento es el principal evento de bloque Windows Defender Application Control para las directivas aplicadas. Indica que el archivo no pasó la directiva WDAC y se bloqueó. |
| AppControlExecutableAudited | 8003 | Solo se aplica cuando está habilitado el modo de cumplimiento Auditar solo. Especifica que el archivo .exe o .dll se bloquearía si se habilitase el modo de aplicación de reglas De aplicación. |
| AppControlExecutableBlocked | 8004 | El archivo .exe o .dll no se puede ejecutar. |
| AppControlPackagedAppAudited | 8021 | Solo se aplica cuando está habilitado el modo de cumplimiento Auditar solo. Especifica que la aplicación empaquetada se bloquearía si se habilitara el modo de cumplimiento De aplicación de reglas. |
| AppControlPackagedAppBlocked | 8022 | La directiva bloqueó la aplicación empaquetada. |
| AppControlScriptAudited | 8006 | Solo se aplica cuando está habilitado el modo de cumplimiento Auditar solo. Especifica que el script o el archivo .msi se bloquearían si se habilitase el modo de aplicación de reglas De aplicación. |
| AppControlScriptBlocked | 8007 | El administrador restringe el acceso al nombre de archivo. Solo se aplica cuando el modo de aplicación de reglas De aplicación se establece directa o indirectamente a través de directiva de grupo herencia. El script o el archivo .msi no se pueden ejecutar. |
| AppControlCIScriptAudited | 8028 | Auditar el archivo msi o script generado por la directiva de bloqueo de Windows (WLDP) a la que llaman los propios hosts de script. |
| AppControlCIScriptBlocked | 8029 | Bloquear el archivo script/MSI generado por la directiva de bloqueo de Windows (WLDP) a la que llaman los propios hosts de script. |
| AppControlCodeIntegrityOriginAllowed | 3090 | Se permitió el archivo debido a una buena reputación (ISG) o al origen de instalación (instalador administrado). |
| AppControlCodeIntegrityOriginAudited | 3091 | Información de reputación (ISG) y de origen de instalación (instalador administrado) para un archivo auditado. |
| AppControlCodeIntegrityOriginBlocked | 3092 | Información de reputación (ISG) y de origen de instalación (instalador administrado) de un archivo bloqueado. |
| AppControlCodeIntegrityPolicyLoaded | 3099 | Indica que una directiva se ha cargado correctamente. |
| AppControlCodeIntegritySigningInformation | 3089 | Evento de información de firma correlacionado con un evento 3076 o 3077. Se genera un evento 3089 para cada firma de un archivo. |
| AppControlPolicyApplied | 8001 | Indica que la directiva de AppLocker se aplicó correctamente al equipo. |
Más información sobre los identificadores de eventos de Control de aplicaciones (Windows)
Consultas de control de aplicaciones de búsqueda avanzada de ejemplo
Ejemplo de consulta 1: Consulta de los tipos de acción de control de aplicación resumidos por tipo durante los últimos siete días
Esta es una consulta de ejemplo simple que muestra todos los eventos de Windows Defender Application Control generados en los últimos siete días a partir de máquinas supervisadas por Microsoft Defender para punto de conexión:
DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc
Los resultados de la consulta se pueden usar para varias funciones importantes relacionadas con la administración de Windows Defender Control de aplicaciones, entre las que se incluyen:
- Evaluar el impacto de la implementación de directivas en modo de auditoría Puesto que las aplicaciones siguen ejecutándose en modo de auditoría, es una manera ideal de ver el impacto y la exactitud de las reglas incluidas en la directiva. La integración de los eventos generados con Advanced Hunting facilita mucho la realización de implementaciones amplias de directivas de modo de auditoría y la forma en que las reglas incluidas influirían en esos sistemas en el uso real. Estos datos del modo de auditoría ayudarán a simplificar la transición al uso de directivas en modo aplicado.
- La supervisión de bloques de directivas en modo forzado Las directivas implementadas en modo forzado pueden bloquear los archivos ejecutables o scripts que no cumplen ninguna de las reglas de permitido incluidas. Se podrían bloquear nuevas aplicaciones y actualizaciones legítimas o software potencialmente no deseado o malintencionado. En cualquier caso, las consultas de búsqueda avanzada notifican los bloques para una investigación posterior.
Ejemplo de consulta n.º 2: Consulta para determinar los bloques de auditoría de los últimos siete días
DeviceEvents
| where ActionType startswith "AppControlExecutableAudited"
| where Timestamp > ago(7d)
|project DeviceId, // the device ID where the audit block happened
FileName, // The audit blocked app's filename
FolderPath, // The audit blocked app's system path without the FileName
InitiatingProcessFileName, // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName, // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName, // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName, // The product name of the parent process loading the executable
InitiatingProcessSHA256, // The SHA256 flat hash of the parent process loading the executable
Timestamp, // The event creation timestamp
ReportId, // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion, // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription, // The file description of the parent process loading the executable
AdditionalFields // Additional fields contains FQBN for signed binaries. These contain the CN of the leaf certificate, product name, original filename and version of the audited binary
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de