Condividi tramite


Esecuzione di query sugli eventi di Controllo app centralmente usando ricerca avanzata

I criteri di Controllo app per le aziende registra gli eventi in locale in Windows Visualizzatore eventi in modalità applicata o di controllo. Anche se Visualizzatore eventi consente di vedere l'impatto su un singolo sistema, i professionisti IT vogliono misurarlo in molti sistemi.

A novembre 2018 sono state aggiunte funzionalità in Microsoft Defender per endpoint che semplificano la visualizzazione centralizzata degli eventi di Controllo app da tutti i sistemi connessi.

La ricerca avanzata in Microsoft Defender per endpoint consente ai clienti di eseguire query sui dati usando un set completo di funzionalità. È possibile eseguire query sugli eventi di Controllo app usando un ActionType che inizia con "AppControl". Questa funzionalità è supportata a partire da Windows versione 1607.

Tipi di azione

Nome actiontype ID evento origine ETW Descrizione
AppControlCodeIntegrityDriverRevoked 3023 Il file del driver sottoposto a convalida non soddisfa i requisiti per passare i criteri di Controllo app.
AppControlCodeIntegrityImageRevoked 3036 Il file firmato in fase di convalida viene firmato da un certificato di firma del codice revocato da Microsoft o dall'autorità emittente del certificato.
AppControlCodeIntegrityPolicyAudited 3076 Questo evento è l'evento di blocco principale controllo app per le aziende per i criteri della modalità di controllo. Indica che il file sarebbe stato bloccato se i criteri di Controllo app sono stati applicati.
AppControlCodeIntegrityPolicyBlocked 3077 Questo evento è l'evento principale di blocco controllo app per le aziende per i criteri applicati. Indica che il file non ha superato i criteri di Controllo app ed è stato bloccato.
AppControlExecutableAudited 8003 Applicato solo quando è abilitata la modalità di imposizione Solo controllo. Specifica che il file .exe o .dll verrebbe bloccato se fosse abilitata la modalità di imposizione delle regole.
AppControlExecutableBlocked 8004 Il file .exe o .dll non può essere eseguito.
AppControlPackagedAppAudited 8021 Applicato solo quando è abilitata la modalità di imposizione Solo controllo. Specifica che l'app in pacchetto verrebbe bloccata se fosse abilitata la modalità di imposizione delle regole.
AppControlPackagedAppBlocked 8022 L'app in pacchetto è stata bloccata dai criteri.
AppControlScriptAudited 8006 Applicato solo quando è abilitata la modalità di imposizione Solo controllo. Specifica che lo script o .msi file verrebbe bloccato se fosse abilitata la modalità di imposizione delle regole.
AppControlScriptBlocked 8007 L'accesso al nome file è limitato dall'amministratore. Applicato solo quando la modalità di imposizione delle regole viene impostata direttamente o indirettamente tramite Criteri di gruppo ereditarietà. Non è possibile eseguire lo script o il file .msi.
AppControlCIScriptAudited 8028 Controllare il file script/MSI generato dai criteri di blocco di Windows (WLDP) chiamati dagli stessi host dello script.
AppControlCIScriptBlocked 8029 Blocca il file script/MSI generato dai criteri di blocco di Windows (WLDP) chiamati dagli stessi host dello script.
AppControlCodeIntegrityOriginAllowed 3090 Il file è stato consentito a causa di una buona reputazione (ISG) o di un'origine di installazione (programma di installazione gestito).
AppControlCodeIntegrityOriginAudited 3091 Informazioni sulla reputazione (ISG) e sull'origine di installazione (programma di installazione gestito) per un file controllato.
AppControlCodeIntegrityOriginBlocked 3092 Informazioni sulla reputazione (ISG) e sull'origine di installazione (programma di installazione gestito) per un file bloccato.
AppControlCodeIntegrityPolicyLoaded 3099 Indica che un criterio è stato caricato correttamente.
AppControlCodeIntegritySigningInformation 3089 Evento di informazioni di firma correlato a un evento 3076 o 3077. Viene generato un evento 3089 per ogni firma di un file.
AppControlPolicyApplied 8001 Indica che i criteri di AppLocker sono stati applicati correttamente al computer.

Altre informazioni sugli ID evento di Controllo app (Windows)

Esempio di query avanzate di controllo dell'app di ricerca

Esempio di query 1: eseguire query sui tipi di azione controllo app riepilogati per tipo negli ultimi sette giorni

Ecco una semplice query di esempio che mostra tutti gli eventi di Controllo app per le aziende generati negli ultimi sette giorni dai computer monitorati da Microsoft Defender per endpoint:

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

I risultati della query possono essere usati per diverse funzioni importanti correlate alla gestione del controllo app per le aziende, tra cui:

  • Valutazione dell'impatto della distribuzione dei criteri in modalità di controllo Poiché le applicazioni vengono ancora eseguite in modalità di controllo, è un modo ideale per vedere l'impatto e la correttezza delle regole incluse nei criteri. L'integrazione degli eventi generati con Ricerca avanzata rende molto più semplice avere distribuzioni generali dei criteri in modalità di controllo e vedere come le regole incluse influirebbero su tali sistemi nell'utilizzo reale. Questi dati in modalità di controllo consentono di semplificare la transizione all'uso dei criteri in modalità applicata.
  • Il monitoraggio dei blocchi dai criteri in modalità applicata I criteri distribuiti in modalità applicata possono bloccare i file eseguibili o gli script che non soddisfano le regole di autorizzazione incluse. Nuove applicazioni e aggiornamenti legittimi o software potenzialmente indesiderato o dannoso potrebbero essere bloccati. In entrambi i casi, le query di ricerca avanzate segnalano i blocchi per ulteriori indagini.

Esempio di query 2: Query per determinare i blocchi di controllo negli ultimi sette giorni

DeviceEvents
| where ActionType startswith "AppControlExecutableAudited"
| where Timestamp > ago(7d)
|project DeviceId,                               // the device ID where the audit block happened
FileName,                                        // The audit blocked app's filename
FolderPath,                                      // The audit blocked app's system path without the FileName
InitiatingProcessFileName,                       // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName,         // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName,    // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName,         // The product name of the parent process loading the executable
InitiatingProcessSHA256,                         // The SHA256 flat hash of the parent process loading the executable
Timestamp,                                       // The event creation timestamp
ReportId,                                        // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion,      // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription,     // The file description of the parent process loading the executable
AdditionalFields                                 // Additional fields contains FQBN for signed binaries.  These contain the CN of the leaf certificate, product name, original filename and version of the audited binary