Consultar eventos do Controlo de Aplicações centralmente com a Investigação avançada
Uma política do Controlo de Aplicações do Windows Defender (WDAC) regista eventos localmente no Visualizador de Eventos do Windows no modo imposto ou de auditoria. Embora o Visualizador de Eventos ajude a ver o impacto num único sistema, os Profissionais de TI querem avaliá-lo em vários sistemas.
Em novembro de 2018, adicionámos funcionalidades no Microsoft Defender para Endpoint que facilitam a visualização de eventos WDAC centralmente a partir de todos os sistemas ligados.
A investigação avançada no Microsoft Defender para Endpoint permite que os clientes consultem dados através de um conjunto avançado de capacidades. Os eventos WDAC podem ser consultados com a utilização de um ActionType que começa com "AppControl". Esta capacidade é suportada a partir da versão 1607 do Windows.
Tipos de Ação
| Nome do ActionType | ID do Evento de Origem etw | Descrição |
|---|---|---|
| AppControlCodeIntegrityDriverRevoked | 3023 | O ficheiro de controlador em validação não cumpriu os requisitos para passar a política de controlo de aplicações. |
| AppControlCodeIntegrityImageRevoked | 3036 | O ficheiro assinado sob validação é assinado por um certificado de assinatura de código que foi revogado pela Microsoft ou pela autoridade emissora de certificados. |
| AppControlCodeIntegrityPolicyAudited | 3076 | Este evento é o principal evento de bloqueio do Controlo de Aplicações do Windows Defender para políticas de modo de auditoria. Indica que o ficheiro teria sido bloqueado se a política do WDAC fosse imposta. |
| AppControlCodeIntegrityPolicyBlocked | 3077 | Este evento é o principal evento de bloqueio do Controlo de Aplicações do Windows Defender para políticas impostas. Indica que o ficheiro não passou na política do WDAC e foi bloqueado. |
| AppControlExecutableAudited | 8003 | Aplicado apenas quando o modo de imposição Apenas auditoria está ativado. Especifica que o ficheiro .exe ou .dll seria bloqueado se o modo de imposição impor regras estivesse ativado. |
| AppControlExecutableBlocked | 8004 | O ficheiro .exe ou .dll não pode ser executado. |
| AppControlPackagedAppAudited | 8021 | Aplicado apenas quando o modo de imposição Apenas auditoria está ativado. Especifica que a aplicação em pacote seria bloqueada se o modo de imposição Impor regras estivesse ativado. |
| AppControlPackagedAppBlocked | 8022 | A aplicação em pacote foi bloqueada pela política. |
| AppControlScriptAudited | 8006 | Aplicado apenas quando o modo de imposição Apenas auditoria está ativado. Especifica o script ou .msi ficheiro seria bloqueado se o modo de imposição Impor regras estivesse ativado. |
| AppControlScriptBlocked | 8007 | O acesso ao nome de ficheiro é restringido pelo administrador. Aplicado apenas quando o modo de imposição impor regras é definido direta ou indiretamente através da herança da Política de Grupo. Não é possível executar o script ou .msi ficheiro. |
| AppControlCIScriptAudited | 8028 | Script de auditoria/ficheiro MSI gerado pela Política de Bloqueio do Windows (WLDP) que está a ser chamada pelos próprios anfitriões de script. |
| AppControlCIScriptBlocked | 8029 | Bloquear script/ficheiro MSI gerado pela Política de Bloqueio do Windows (WLDP) a ser chamado pelos próprios anfitriões de script. |
| AppControlCodeIntegrityOriginAllowed | 3090 | O ficheiro foi permitido devido à boa reputação (ISG) ou à origem de instalação (instalador gerido). |
| AppControlCodeIntegrityOriginAudited | 3091 | Informações de reputação (ISG) e de origem de instalação (instalador gerido) para um ficheiro auditado. |
| AppControlCodeIntegrityOriginBlocked | 3092 | Informações de reputação (ISG) e de origem de instalação (instalador gerido) para um ficheiro bloqueado. |
| AppControlCodeIntegrityPolicyLoaded | 3099 | Indica que uma política foi carregada com êxito. |
| AppControlCodeIntegritySigningInformation | 3089 | Evento de informações de assinatura correlacionado com um evento 3076 ou 3077. É gerado um evento 3089 para cada assinatura de um ficheiro. |
| AppControlPolicyApplied | 8001 | Indica que a política appLocker foi aplicada com êxito ao computador. |
Saiba mais sobre o Understanding Application Control event IDs (Windows) (Compreender os IDs de eventos do Controlo de Aplicações [Windows])
Exemplo de Consultas Avançadas de Controlo de Aplicações de Investigação
Exemplo de Consulta 1: Consultar os tipos de ações de controlo de aplicação resumidos por tipo nos últimos sete dias
Eis uma consulta de exemplo simples que mostra todos os eventos do Controlo de Aplicações do Windows Defender gerados nos últimos sete dias a partir das máquinas que estão a ser monitorizadas pelo Microsoft Defender para Endpoint:
DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc
Os resultados da consulta podem ser utilizados para várias funções importantes relacionadas com a gestão do Controlo de Aplicações do Windows Defender, incluindo:
- Avaliar o impacto da implementação de políticas no modo de auditoria Uma vez que as aplicações ainda são executadas no modo de auditoria, é a forma ideal de ver o impacto e a correção das regras incluídas na política. Integrar os eventos gerados com a Investigação Avançada torna muito mais fácil ter implementações abrangentes de políticas de modo de auditoria e ver como as regras incluídas influenciariam esses sistemas na utilização do mundo real. Estes dados do modo de auditoria ajudarão a simplificar a transição para a utilização de políticas no modo imposto.
- Monitorizar blocos de políticas no modo imposto As políticas implementadas no modo imposto podem bloquear executáveis ou scripts que não cumpram qualquer uma das regras de permissão incluídas. Podem ser bloqueadas novas aplicações e atualizações legítimas ou software potencialmente indesejável ou malicioso. Em ambos os casos, as consultas de investigação avançadas comunicam os blocos para uma investigação mais aprofundada.
Exemplo de Consulta n.º 2: Consulta para determinar os blocos de auditoria nos últimos sete dias
DeviceEvents
| where ActionType startswith "AppControlExecutableAudited"
| where Timestamp > ago(7d)
|project DeviceId, // the device ID where the audit block happened
FileName, // The audit blocked app's filename
FolderPath, // The audit blocked app's system path without the FileName
InitiatingProcessFileName, // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName, // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName, // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName, // The product name of the parent process loading the executable
InitiatingProcessSHA256, // The SHA256 flat hash of the parent process loading the executable
Timestamp, // The event creation timestamp
ReportId, // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion, // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription, // The file description of the parent process loading the executable
AdditionalFields // Additional fields contains FQBN for signed binaries. These contain the CN of the leaf certificate, product name, original filename and version of the audited binary
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de