Esecuzione di query sugli eventi di Controllo applicazione centralmente tramite ricerca avanzata
Un criterio WDAC (Application Control) Windows Defender registra gli eventi in locale in Windows Visualizzatore eventi in modalità applicata o di controllo. Anche se Visualizzatore eventi consente di vedere l'impatto su un singolo sistema, i professionisti IT vogliono misurarlo in molti sistemi.
A novembre 2018 sono state aggiunte funzionalità in Microsoft Defender per endpoint che semplificano la visualizzazione centralizzata degli eventi WDAC da tutti i sistemi connessi.
La ricerca avanzata in Microsoft Defender per endpoint consente ai clienti di eseguire query sui dati usando un set completo di funzionalità. È possibile eseguire query sugli eventi WDAC usando un ActionType che inizia con "AppControl". Questa funzionalità è supportata a partire da Windows versione 1607.
Tipi di azione
| Nome actiontype | ID evento origine ETW | Descrizione |
|---|---|---|
| AppControlCodeIntegrityDriverRevoked | 3023 | Il file del driver sottoposto a convalida non soddisfa i requisiti per passare i criteri di controllo dell'applicazione. |
| AppControlCodeIntegrityImageRevoked | 3036 | Il file firmato in fase di convalida viene firmato da un certificato di firma del codice revocato da Microsoft o dall'autorità emittente del certificato. |
| AppControlCodeIntegrityPolicyAudited | 3076 | Questo evento è l'evento principale Windows Defender blocco di controllo dell'applicazione per i criteri della modalità di controllo. Indica che il file sarebbe stato bloccato se i criteri WDAC sono stati applicati. |
| AppControlCodeIntegrityPolicyBlocked | 3077 | Questo evento è l'evento principale Windows Defender blocco di controllo delle applicazioni per i criteri applicati. Indica che il file non ha superato i criteri WDAC ed è stato bloccato. |
| AppControlExecutableAudited | 8003 | Applicato solo quando è abilitata la modalità di imposizione Solo controllo. Specifica che il file .exe o .dll verrebbe bloccato se fosse abilitata la modalità di imposizione delle regole. |
| AppControlExecutableBlocked | 8004 | Il file .exe o .dll non può essere eseguito. |
| AppControlPackagedAppAudited | 8021 | Applicato solo quando è abilitata la modalità di imposizione Solo controllo. Specifica che l'app in pacchetto verrebbe bloccata se fosse abilitata la modalità di imposizione delle regole. |
| AppControlPackagedAppBlocked | 8022 | L'app in pacchetto è stata bloccata dai criteri. |
| AppControlScriptAudited | 8006 | Applicato solo quando è abilitata la modalità di imposizione Solo controllo. Specifica che lo script o .msi file verrebbe bloccato se fosse abilitata la modalità di imposizione delle regole. |
| AppControlScriptBlocked | 8007 | L'accesso al nome file è limitato dall'amministratore. Applicato solo quando la modalità di imposizione delle regole viene impostata direttamente o indirettamente tramite Criteri di gruppo ereditarietà. Non è possibile eseguire lo script o il file .msi. |
| AppControlCIScriptAudited | 8028 | Controllare il file script/MSI generato dai criteri di blocco di Windows (WLDP) chiamati dagli stessi host dello script. |
| AppControlCIScriptBlocked | 8029 | Blocca il file script/MSI generato dai criteri di blocco di Windows (WLDP) chiamati dagli stessi host dello script. |
| AppControlCodeIntegrityOriginAllowed | 3090 | Il file è stato consentito a causa di una buona reputazione (ISG) o di un'origine di installazione (programma di installazione gestito). |
| AppControlCodeIntegrityOriginAudited | 3091 | Informazioni sulla reputazione (ISG) e sull'origine di installazione (programma di installazione gestito) per un file controllato. |
| AppControlCodeIntegrityOriginBlocked | 3092 | Informazioni sulla reputazione (ISG) e sull'origine di installazione (programma di installazione gestito) per un file bloccato. |
| AppControlCodeIntegrityPolicyLoaded | 3099 | Indica che un criterio è stato caricato correttamente. |
| AppControlCodeIntegritySigningInformation | 3089 | Evento di informazioni di firma correlato a un evento 3076 o 3077. Viene generato un evento 3089 per ogni firma di un file. |
| AppControlPolicyApplied | 8001 | Indica che i criteri di AppLocker sono stati applicati correttamente al computer. |
Altre informazioni sugli ID evento di Controllo applicazione (Windows)
Esempio di query avanzate di controllo dell'applicazione di ricerca
Esempio di query 1: eseguire query sui tipi di azione del controllo applicazione riepilogati per tipo negli ultimi sette giorni
Di seguito è riportata una semplice query di esempio che mostra tutti gli eventi di controllo delle applicazioni Windows Defender generati negli ultimi sette giorni dai computer monitorati da Microsoft Defender per endpoint:
DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc
I risultati della query possono essere usati per diverse funzioni importanti correlate alla gestione di Windows Defender controllo applicazione, tra cui:
- Valutazione dell'impatto della distribuzione dei criteri in modalità di controllo Poiché le applicazioni vengono ancora eseguite in modalità di controllo, è un modo ideale per vedere l'impatto e la correttezza delle regole incluse nei criteri. L'integrazione degli eventi generati con Ricerca avanzata rende molto più semplice avere distribuzioni generali dei criteri in modalità di controllo e vedere come le regole incluse influirebbero su tali sistemi nell'utilizzo reale. Questi dati in modalità di controllo consentono di semplificare la transizione all'uso dei criteri in modalità applicata.
- Il monitoraggio dei blocchi dai criteri in modalità applicata I criteri distribuiti in modalità applicata possono bloccare i file eseguibili o gli script che non soddisfano le regole di autorizzazione incluse. Nuove applicazioni e aggiornamenti legittimi o software potenzialmente indesiderato o dannoso potrebbero essere bloccati. In entrambi i casi, le query di ricerca avanzate segnalano i blocchi per ulteriori indagini.
Esempio di query 2: Query per determinare i blocchi di controllo negli ultimi sette giorni
DeviceEvents
| where ActionType startswith "AppControlExecutableAudited"
| where Timestamp > ago(7d)
|project DeviceId, // the device ID where the audit block happened
FileName, // The audit blocked app's filename
FolderPath, // The audit blocked app's system path without the FileName
InitiatingProcessFileName, // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName, // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName, // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName, // The product name of the parent process loading the executable
InitiatingProcessSHA256, // The SHA256 flat hash of the parent process loading the executable
Timestamp, // The event creation timestamp
ReportId, // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion, // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription, // The file description of the parent process loading the executable
AdditionalFields // Additional fields contains FQBN for signed binaries. These contain the CN of the leaf certificate, product name, original filename and version of the audited binary
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per