Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.
Начиная с версии 2.2.0.0 мастер управления приложениями поддерживает создание правил политики управления приложениями из следующих типов журналов событий:
- События журнала событий управления приложениями в системе
- Экспортированные события элемента управления приложениями (файлы EVTX) из любой системы
- Экспортированные события элемента управления приложениями из MDE Advanced Hunting
Анализ журналов управления приложениями Просмотр событий
Чтобы создать правила из журналов событий элемента управления приложениями в системе, выполните следующие действия:
Выберите Политика Редактор на странице main.
Выберите Преобразовать журнал событий в политику управления приложениями.
Нажмите кнопку Синтаксический анализ журналов событий в разделе Журналы событий в заголовке System Просмотр событий policy.
Мастер анализирует соответствующие события аудита и блокирует события из журналов CodeIntegrity (app Control) Operational и AppLocker MSI и Script. Когда мастер успешно завершит чтение событий, появится уведомление.
Нажмите кнопку Далее, чтобы просмотреть события аудита и блокировки и создать правила.
Анализ файла журнала событий элемента управления приложениями
Чтобы создать правила из файлов журналов событий управления .EVTX приложениями в системе, выполните следующие действия:
Выберите Политика Редактор на странице main.
Выберите Преобразовать журнал событий в политику управления приложениями.
Нажмите кнопку Синтаксический анализ файлов журналов под заголовком "Анализ журнала событий с evtx Файлы в политику ".
Выберите файл EVTX журнала событий элемента управления приложениями Для анализа выберите файл (evTX) журнала событий элемента управления приложениями.
Мастер анализирует соответствующий аудит и блокирует события из выбранных файлов журнала. Когда мастер успешно завершит чтение событий, появится уведомление.
Нажмите кнопку Далее, чтобы просмотреть события аудита и блокировки и создать правила.
Анализ событий MDE Advanced Hunting App Control
Чтобы создать правила на основе событий управления приложениями в MDE Advanced Hunting, выполните следующие действия.
Перейдите в раздел Расширенная охота в консоли MDE и запросите события управления приложениями. Мастеру требуются следующие поля в экспорте CSV-файла Advanced Hunting:
| project-keep Timestamp, DeviceId, DeviceName, ActionType, FileName, FolderPath, SHA1, SHA256, IssuerName, IssuerTBSHash, PublisherName, PublisherTBSHash, AuthenticodeHash, PolicyId, PolicyNameРекомендуется выполнить следующий запрос Advanced Hunting:
DeviceEvents // Take only App Control events | where ActionType startswith 'AppControlCodeIntegrity' // SigningInfo Fields | extend IssuerName = parsejson(AdditionalFields).IssuerName | extend IssuerTBSHash = parsejson(AdditionalFields).IssuerTBSHash | extend PublisherName = parsejson(AdditionalFields).PublisherName | extend PublisherTBSHash = parsejson(AdditionalFields).PublisherTBSHash // Audit/Block Fields | extend AuthenticodeHash = parsejson(AdditionalFields).AuthenticodeHash | extend PolicyId = parsejson(AdditionalFields).PolicyID | extend PolicyName = parsejson(AdditionalFields).PolicyName // Keep only required fields for the App Control Wizard | project-keep Timestamp,DeviceId,DeviceName,ActionType,FileName,FolderPath,SHA1,SHA256,IssuerName,IssuerTBSHash,PublisherName,PublisherTBSHash,AuthenticodeHash,PolicyId,PolicyNameЭкспортируйте результаты события Элемента управления приложениями, нажав кнопку Экспорт в представлении результатов.
Выберите Политика Редактор на странице main.
Выберите Преобразовать журнал событий в политику управления приложениями.
Нажмите кнопки Синтаксический анализ файлов журнала в заголовке "Анализ MDE события расширенной охоты на политику".
Выберите Элемент управления приложениями MDE Расширенной охоты экспортировать CSV-файлы с диска для анализа.
Мастер выполнит синтаксический анализ соответствующего аудита и заблокирует события из выбранных файлов журнала расширенной охоты. Когда мастер успешно завершит чтение событий, появится уведомление.
Нажмите кнопку Далее, чтобы просмотреть события аудита и блокировки и создать правила.
Создание правил политики на основе событий
На странице "Настройка правил журнала событий" в таблице отображаются уникальные события журнала элемента управления приложениями. В таблице отображаются идентификаторы событий, имена файлов, названия продуктов, имя политики, которая провела аудит или блокировку файла, а также издатель файла. Таблицу можно отсортировать в алфавитном порядке, щелкнув любой из заголовков.
Чтобы создать правило и добавить его в политику управления приложениями, выполните следующие действия:
Выберите событие аудита или блокировки в таблице, выбрав интересующую строку.
Выберите тип правила в раскрывающемся списке. Мастер поддерживает создание правил Publisher, Path, File Attribute, Packaged App и Hash.
Выберите атрибуты и поля, которые должны быть добавлены в правила политики, с помощью флажков, указанных для типа правила.
Нажмите кнопку Добавить разрешить правило , чтобы добавить настроенное правило в политику, созданную мастером. Метка "Добавлено в политику" отображается в выбранной строке, подтверждающая, что правило будет создано.
Нажмите кнопку Далее , чтобы вывести политику. После создания политики журнала событий следует объединить с базовыми или дополнительными политиками.
Warning
Не рекомендуется развертывать политику журнала событий самостоятельно, так как в ней, скорее всего, отсутствуют правила авторизации Windows и могут возникнуть синие экраны.