고급 헌팅을 사용하여 중앙에서 App Control 이벤트 쿼리

비즈니스용 앱 컨트롤 정책은 강제 또는 감사 모드에서 Windows 이벤트 뷰어 이벤트를 로컬로 기록합니다. 이벤트 뷰어 단일 시스템에 미치는 영향을 확인하는 데 도움이 되지만 IT 전문가는 여러 시스템에서 이를 측정하려고 합니다.

2018년 11월에는 연결된 모든 시스템에서 중앙에서 App Control 이벤트를 쉽게 볼 수 있는 기능을 엔드포인트용 Microsoft Defender 추가했습니다.

엔드포인트용 Microsoft Defender 고급 헌팅을 사용하면 고객이 풍부한 기능 집합을 사용하여 데이터를 쿼리할 수 있습니다. App Control 이벤트는 "AppControl"로 시작하는 ActionType을 사용하여 쿼리할 수 있습니다. 이 기능은 Windows 버전 1607부터 지원됩니다.

작업 유형

ActionType 이름 ETW 원본 이벤트 ID 설명
AppControlCodeIntegrityDriverRevoked 3023 유효성 검사 중인 드라이버 파일이 App Control 정책을 통과하기 위한 요구 사항을 충족하지 못했습니다.
AppControlCodeIntegrityImageRevoked 3036 유효성 검사 중인 서명된 파일은 Microsoft 또는 인증서 발급 기관에서 해지한 코드 서명 인증서에 의해 서명됩니다.
AppControlCodeIntegrityPolicyAudited 3076 이 이벤트는 감사 모드 정책에 대한 기본 App Control for Business 블록 이벤트입니다. 앱 제어 정책이 적용된 경우 파일이 차단되었음을 나타냅니다.
AppControlCodeIntegrityPolicyBlocked 3077 이 이벤트는 적용된 정책에 대한 기본 비즈니스용 App Control 블록 이벤트입니다. 파일이 App Control 정책을 통과하지 못했고 차단되었음을 나타냅니다.
AppControlExecutableAudited 8003 감사 전용 적용 모드를 사용하는 경우에만 적용됩니다. 규칙 적용 적용 모드가 설정된 경우 .exe 또는 .dll 파일이 차단되도록 지정합니다.
AppControlExecutableBlocked 8004 .exe 또는 .dll 파일을 실행할 수 없습니다.
AppControlPackagedAppAudited 8021 감사 전용 적용 모드를 사용하는 경우에만 적용됩니다. 규칙 적용 적용 모드를 사용하도록 설정된 경우 패키지된 앱이 차단되도록 지정합니다.
AppControlPackagedAppBlocked 8022 패키지된 앱이 정책에 의해 차단되었습니다.
AppControlScriptAudited 8006 감사 전용 적용 모드를 사용하는 경우에만 적용됩니다. 규칙 적용 모드를 사용하도록 설정한 경우 스크립트 또는 .msi 파일이 차단되도록 지정합니다.
AppControlScriptBlocked 8007 파일 이름에 대한 액세스는 관리자가 제한합니다. 규칙 적용 모드가 그룹 정책 상속을 통해 직접 또는 간접적으로 설정된 경우에만 적용됩니다. 스크립트 또는 .msi 파일을 실행할 수 없습니다.
AppControlCIScriptAudited 8028 스크립트가 자체 호스트하는 WLDP(Windows LockDown Policy)에서 생성된 감사 스크립트/MSI 파일입니다.
AppControlCIScriptBlocked 8029 스크립트가 자체 호스트하는 WLDP(Windows LockDown Policy)에서 생성된 스크립트/MSI 파일을 차단합니다.
AppControlCodeIntegrityOriginAllowed 3090 ISG(좋은 평판) 또는 설치 원본(관리되는 설치 관리자)으로 인해 파일이 허용되었습니다.
AppControlCodeIntegrityOriginAudited 3091 감사된 파일에 대한 평판(ISG) 및 설치 원본(관리되는 설치 관리자) 정보입니다.
AppControlCodeIntegrityOriginBlocked 3092 차단된 파일에 대한 평판(ISG) 및 설치 원본(관리되는 설치 관리자) 정보입니다.
AppControlCodeIntegrityPolicyLoaded 3099 정책이 성공적으로 로드되었음을 나타냅니다.
AppControlCodeIntegritySigningInformation 3089 서명 정보 이벤트는 3076 또는 3077 이벤트와 관련이 있습니다. 파일의 각 서명에 대해 하나의 3089 이벤트가 생성됩니다.
AppControlPolicyApplied 8001 AppLocker 정책이 컴퓨터에 성공적으로 적용되었음을 나타냅니다.

앱 컨트롤 이해 이벤트 ID(Windows)에 대해 자세히 알아보기

고급 헌팅 앱 제어 쿼리 예제

쿼리 예제 1: 지난 7일 동안 형식별로 요약된 App Control 작업 형식 쿼리

다음은 엔드포인트용 Microsoft Defender 모니터링되는 컴퓨터에서 지난 7일 동안 생성된 모든 비즈니스용 App Control 이벤트를 보여 주는 간단한 예제 쿼리입니다.

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

쿼리 결과는 다음을 포함하여 비즈니스용 App Control 관리와 관련된 몇 가지 중요한 함수에 사용할 수 있습니다.

  • 감사 모드에서 정책 배포의 영향 평가 애플리케이션은 여전히 감사 모드로 실행되므로 정책에 포함된 규칙의 영향과 정확성을 확인하는 것이 좋습니다. 생성된 이벤트를 고급 헌팅과 통합하면 감사 모드 정책을 광범위하게 배포하고 포함된 규칙이 실제 사용 시 이러한 시스템에 어떤 영향을 미치는지 훨씬 쉽게 확인할 수 있습니다. 이 감사 모드 데이터는 적용 모드에서 정책을 사용하여 전환을 간소화하는 데 도움이 됩니다.
  • 적용 모드로 배포된 정책의 모니터링 블록은 포함된 허용 규칙을 충족하지 못하는 실행 파일 또는 스크립트를 차단할 수 있습니다. 합법적인 새 애플리케이션 및 업데이트 또는 원치 않는 소프트웨어 또는 악성 소프트웨어가 차단될 수 있습니다. 두 경우 모두 고급 헌팅 쿼리는 추가 조사를 위해 블록을 보고합니다.

쿼리 예제 #2: 지난 7일 동안의 감사 블록을 확인하는 쿼리

DeviceEvents
| where ActionType startswith "AppControlExecutableAudited"
| where Timestamp > ago(7d)
|project DeviceId,                               // the device ID where the audit block happened
FileName,                                        // The audit blocked app's filename
FolderPath,                                      // The audit blocked app's system path without the FileName
InitiatingProcessFileName,                       // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName,         // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName,    // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName,         // The product name of the parent process loading the executable
InitiatingProcessSHA256,                         // The SHA256 flat hash of the parent process loading the executable
Timestamp,                                       // The event creation timestamp
ReportId,                                        // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion,      // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription,     // The file description of the parent process loading the executable
AdditionalFields                                 // Additional fields contains FQBN for signed binaries.  These contain the CN of the leaf certificate, product name, original filename and version of the audited binary