Zentrales Abfragen von App Control-Ereignissen mithilfe der erweiterten Suche
Eine App Control for Business-Richtlinie protokolliert Ereignisse lokal in Windows Ereignisanzeige entweder im erzwungenen modus oder im Überwachungsmodus. Während Ereignisanzeige hilft, die Auswirkungen auf ein einzelnes System zu erkennen, möchten IT-Experten dies über viele Systeme hinweg messen.
Im November 2018 haben wir funktionen in Microsoft Defender for Endpoint hinzugefügt, die es einfach macht, App Control-Ereignisse zentral von allen verbundenen Systemen aus anzuzeigen.
Die erweiterte Suche in Microsoft Defender for Endpoint ermöglicht Kunden das Abfragen von Daten mit einer Vielzahl von Funktionen. App Control-Ereignisse können mit mithilfe eines ActionType abgefragt werden, der mit "AppControl" beginnt. Diese Funktion wird ab Windows Version 1607 unterstützt.
Aktionstypen
| ActionType Name | ETW-Quellereignis-ID | Beschreibung |
|---|---|---|
| AppControlCodeIntegrityDriverRevoked | 3023 | Die zu überprüfende Treiberdatei erfüllte nicht die Anforderungen zum Bestehen der App-Steuerungsrichtlinie. |
| AppControlCodeIntegrityImageRevoked | 3036 | Die signierte Datei, die überprüft wird, wird von einem Codesignaturzertifikat signiert, das von Microsoft oder der Zertifizierungsstelle widerrufen wurde. |
| AppControlCodeIntegrityPolicyAudited | 3076 | Dieses Ereignis ist das Standard App Control for Business-Blockereignis für Überwachungsmodusrichtlinien. Es gibt an, dass die Datei blockiert worden wäre, wenn die App-Steuerungsrichtlinie erzwungen wurde. |
| AppControlCodeIntegrityPolicyBlocked | 3077 | Dieses Ereignis ist das Standard App Control for Business-Blockereignis für erzwungene Richtlinien. Dies weist darauf hin, dass die Datei Ihre App-Steuerungsrichtlinie nicht bestanden und blockiert wurde. |
| AppControlExecutableAudited | 8003 | Wird nur angewendet, wenn der Erzwingungsmodus Nur überwachen aktiviert ist. Gibt an, .exe oder .dll Datei blockiert würde, wenn der Erzwingungsmodus "Regeln erzwingen" aktiviert wäre. |
| AppControlExecutableBlocked | 8004 | Die .exe- oder .dll datei kann nicht ausgeführt werden. |
| AppControlPackagedAppAudited | 8021 | Wird nur angewendet, wenn der Erzwingungsmodus Nur überwachen aktiviert ist. Gibt an, dass die gepackte App blockiert wird, wenn der Erzwingungsmodus "Regeln erzwingen" aktiviert wäre. |
| AppControlPackagedAppBlocked | 8022 | Die gepackte App wurde durch die Richtlinie blockiert. |
| AppControlScriptAudited | 8006 | Wird nur angewendet, wenn der Erzwingungsmodus Nur überwachen aktiviert ist. Gibt an, dass das Skript oder .msi Datei blockiert wird, wenn der Erzwingungsmodus "Regeln erzwingen" aktiviert wäre. |
| AppControlScriptBlocked | 8007 | Der Zugriff auf den Dateinamen wird vom Administrator eingeschränkt. Wird nur angewendet, wenn der Erzwingungsmodus Regeln erzwingen entweder direkt oder indirekt durch Gruppenrichtlinie Vererbung festgelegt wird. Das Skript oder die .msi-Datei kann nicht ausgeführt werden. |
| AppControlCIScriptAudited | 8028 | Überwachungsskript-/MSI-Datei, die von der Windows LockDown-Richtlinie (WLDP) generiert wird, die von den Skripthosts selbst aufgerufen wird. |
| AppControlCIScriptBlocked | 8029 | Blockieren Sie skript-/MSI-Datei, die von der Windows-Sperrdownrichtlinie (WLDP) generiert wird, die von den Skripthosts selbst aufgerufen wird. |
| AppControlCodeIntegrityOriginAllowed | 3090 | Die Datei wurde aufgrund eines guten Rufs (ISG) oder der Installationsquelle (verwaltetes Installationsprogramm) zugelassen. |
| AppControlCodeIntegrityOriginAudited | 3091 | Informationen zu Reputation (ISG) und Installationsquelle (verwaltetes Installationsprogramm) für eine überwachte Datei. |
| AppControlCodeIntegrityOriginBlocked | 3092 | Informationen zu Reputation (ISG) und Installationsquelle (verwaltetes Installationsprogramm) für eine blockierte Datei. |
| AppControlCodeIntegrityPolicyLoaded | 3099 | Gibt an, dass eine Richtlinie erfolgreich geladen wurde. |
| AppControlCodeIntegritySigningInformation | 3089 | Signaturinformationsereignis, das mit einem 3076- oder 3077-Ereignis korreliert ist. Für jede Signatur einer Datei wird ein 3089-Ereignis generiert. |
| AppControlPolicyApplied | 8001 | Gibt an, dass die AppLocker-Richtlinie erfolgreich auf den Computer angewendet wurde. |
Weitere Informationen zu den App Control-Ereignis-IDs verstehen (Windows)
Beispielabfragen für erweitertes Hunting-App-Steuerelement
Abfragebeispiel 1: Abfragen der App Control-Aktionstypen, zusammengefasst nach Typ der letzten sieben Tage
Hier ist eine einfache Beispielabfrage, die alle App Control for Business-Ereignisse zeigt, die in den letzten sieben Tagen von Computern generiert wurden, die von Microsoft Defender for Endpoint überwacht werden:
DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc
Die Abfrageergebnisse können für mehrere wichtige Funktionen im Zusammenhang mit der Verwaltung von App Control for Business verwendet werden, einschließlich:
- Bewerten der Auswirkungen der Bereitstellung von Richtlinien im Überwachungsmodus Da Anwendungen weiterhin im Überwachungsmodus ausgeführt werden, ist dies eine ideale Möglichkeit, um die Auswirkungen und die Richtigkeit der in der Richtlinie enthaltenen Regeln zu sehen. Die Integration der generierten Ereignisse in die erweiterte Suche erleichtert es ihnen, umfassende Bereitstellungen von Überwachungsmodusrichtlinien zu erstellen und zu sehen, wie sich die enthaltenen Regeln auf diese Systeme in der realen Nutzung auswirken würden. Diese Überwachungsmodusdaten helfen dabei, den Übergang zur Verwendung von Richtlinien im erzwungenen Modus zu optimieren.
- Überwachen von Blöcken von Richtlinien im erzwungenen Modus Richtlinien, die im erzwungenen Modus bereitgestellt werden, können ausführbare Dateien oder Skripts blockieren, die keine der enthaltenen Zulassungsregeln erfüllen. Legitime neue Anwendungen und Updates oder potenziell unerwünschte oder bösartige Software könnten blockiert werden. In beiden Fällen melden die Abfragen der erweiterten Suche die Blöcke zur weiteren Untersuchung.
Abfragebeispiel 2: Abfrage zum Ermitteln von Überwachungsblöcken in den letzten sieben Tagen
DeviceEvents
| where ActionType startswith "AppControlExecutableAudited"
| where Timestamp > ago(7d)
|project DeviceId, // the device ID where the audit block happened
FileName, // The audit blocked app's filename
FolderPath, // The audit blocked app's system path without the FileName
InitiatingProcessFileName, // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName, // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName, // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName, // The product name of the parent process loading the executable
InitiatingProcessSHA256, // The SHA256 flat hash of the parent process loading the executable
Timestamp, // The event creation timestamp
ReportId, // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion, // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription, // The file description of the parent process loading the executable
AdditionalFields // Additional fields contains FQBN for signed binaries. These contain the CN of the leaf certificate, product name, original filename and version of the audited binary