Interrogation centralisée des événements de contrôle d’application à l’aide de la chasse avancée
Une stratégie WDAC (Windows Defender Application Control) enregistre les événements localement dans Windows observateur d'événements en mode appliqué ou audit. Bien que observateur d'événements aide à voir l’impact sur un système unique, les professionnels de l’informatique souhaitent l’évaluer sur de nombreux systèmes.
En novembre 2018, nous avons ajouté des fonctionnalités dans Microsoft Defender pour point de terminaison qui facilitent l’affichage centralisé des événements WDAC à partir de tous les systèmes connectés.
La chasse avancée dans Microsoft Defender pour point de terminaison permet aux clients d’interroger des données à l’aide d’un ensemble complet de fonctionnalités. Les événements WDAC peuvent être interrogés avec à l’aide d’un ActionType qui commence par « AppControl ». Cette fonctionnalité est prise en charge à partir de la version 1607 de Windows.
Types d’actions
| Nom du type d’action | ID d’événement source ETW | Description |
|---|---|---|
| AppControlCodeIntegrityDriverRevoked | 3023 | Le fichier de pilote en cours de validation ne répondait pas aux conditions requises pour passer la stratégie de contrôle d’application. |
| AppControlCodeIntegrityImageRevoked | 3036 | Le fichier signé en cours de validation est signé par un certificat de signature de code qui a été révoqué par Microsoft ou l’autorité émettrice du certificat. |
| AppControlCodeIntegrityPolicyAudited | 3076 | Cet événement est l’événement de bloc main Windows Defender Contrôle d’application pour les stratégies en mode audit. Cela indique que le fichier aurait été bloqué si la stratégie WDAC avait été appliquée. |
| AppControlCodeIntegrityPolicyBlocked | 3077 | Cet événement est l’événement de blocage main Windows Defender Contrôle d’application pour les stratégies appliquées. Cela indique que le fichier n’a pas réussi votre stratégie WDAC et qu’il a été bloqué. |
| AppControlExecutableAudited | 8003 | Appliqué uniquement lorsque le mode d’application Auditer uniquement est activé. Spécifie que le fichier .exe ou .dll serait bloqué si le mode d’application Appliquer les règles était activé. |
| AppControlExecutableBlocked | 8004 | Le fichier .exe ou .dll ne peut pas s’exécuter. |
| AppControlPackagedAppAudited | 8021 | Appliqué uniquement lorsque le mode d’application Auditer uniquement est activé. Spécifie que l’application empaquetée serait bloquée si le mode d’application Appliquer les règles était activé. |
| AppControlPackagedAppBlocked | 8022 | L’application empaquetée a été bloquée par la stratégie. |
| AppControlScriptAudited | 8006 | Appliqué uniquement lorsque le mode d’application Auditer uniquement est activé. Spécifie que le script ou le fichier .msi serait bloqué si le mode d’application Appliquer des règles était activé. |
| AppControlScriptBlocked | 8007 | L’accès au nom de fichier est limité par l’administrateur. Appliqué uniquement lorsque le mode d’application Appliquer les règles est défini directement ou indirectement via stratégie de groupe héritage. Le script ou le fichier .msi ne peut pas s’exécuter. |
| AppControlCIScriptAudited | 8028 | Auditer le script/fichier MSI généré par la stratégie de verrouillage Windows (WLDP) appelé par les hôtes de script eux-mêmes. |
| AppControlCIScriptBlocked | 8029 | Bloquer le script/fichier MSI généré par la stratégie de verrouillage Windows (WLDP) appelé par les hôtes de script eux-mêmes. |
| AppControlCodeIntegrityOriginAllowed | 3090 | Le fichier a été autorisé en raison d’une bonne réputation (ISG) ou d’une source d’installation (programme d’installation managé). |
| AppControlCodeIntegrityOriginAudited | 3091 | Informations de réputation (ISG) et de source d’installation (programme d’installation managé) pour un fichier audité. |
| AppControlCodeIntegrityOriginBlocked | 3092 | Informations de réputation (ISG) et de source d’installation (programme d’installation managé) pour un fichier bloqué. |
| AppControlCodeIntegrityPolicyLoaded | 3099 | Indique qu’une stratégie a été correctement chargée. |
| AppControlCodeIntegritySigningInformation | 3089 | Événement d’informations de signature corrélé à un événement 3076 ou 3077. Un événement 3089 est généré pour chaque signature d’un fichier. |
| AppControlPolicyApplied | 8001 | Indique que la stratégie AppLocker a été correctement appliquée à l’ordinateur. |
En savoir plus sur la présentation des ID d’événement De contrôle d’application (Windows)
Exemple de requêtes de contrôle d’application de chasse avancée
Exemple de requête 1 : Interroger les types d’actions de contrôle d’application résumés par type pour les sept derniers jours
Voici un exemple de requête simple qui montre tous les Windows Defender événements Application Control générés au cours des sept derniers jours à partir de machines surveillées par Microsoft Defender pour point de terminaison :
DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc
Les résultats de la requête peuvent être utilisés pour plusieurs fonctions importantes liées à la gestion Windows Defender Contrôle d’application, notamment :
- Évaluation de l’impact du déploiement de stratégies en mode audit Étant donné que les applications s’exécutent toujours en mode audit, il s’agit d’un moyen idéal de voir l’impact et l’exactitude des règles incluses dans la stratégie. L’intégration des événements générés avec advanced hunting facilite considérablement les déploiements étendus de stratégies de mode d’audit et de voir comment les règles incluses influencent ces systèmes dans l’utilisation réelle. Ces données du mode d’audit vous aideront à simplifier la transition vers l’utilisation de stratégies en mode appliqué.
- Surveillance des blocs à partir de stratégies en mode appliqué Les stratégies déployées en mode appliqué peuvent bloquer les exécutables ou les scripts qui ne répondent pas aux règles d’autorisation incluses. Les nouvelles applications et mises à jour légitimes ou les logiciels potentiellement indésirables ou malveillants peuvent être bloqués. Dans les deux cas, les requêtes de chasse avancées signalent les blocs pour une investigation plus approfondie.
Exemple de requête n°2 : Requête pour déterminer les blocs d’audit au cours des sept derniers jours
DeviceEvents
| where ActionType startswith "AppControlExecutableAudited"
| where Timestamp > ago(7d)
|project DeviceId, // the device ID where the audit block happened
FileName, // The audit blocked app's filename
FolderPath, // The audit blocked app's system path without the FileName
InitiatingProcessFileName, // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName, // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName, // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName, // The product name of the parent process loading the executable
InitiatingProcessSHA256, // The SHA256 flat hash of the parent process loading the executable
Timestamp, // The event creation timestamp
ReportId, // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion, // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription, // The file description of the parent process loading the executable
AdditionalFields // Additional fields contains FQBN for signed binaries. These contain the CN of the leaf certificate, product name, original filename and version of the audited binary
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour