Consultar eventos do Controlo de Aplicações centralmente com a Investigação avançada
Uma política do Controlo de Aplicações para Empresas regista eventos localmente no Windows Visualizador de Eventos no modo imposto ou de auditoria. Embora Visualizador de Eventos ajude a ver o impacto num único sistema, os Profissionais de TI querem avaliá-lo em muitos sistemas.
Em novembro de 2018, adicionámos funcionalidades no Microsoft Defender para Ponto de Extremidade que facilitam a visualização de eventos do Controlo de Aplicações centralmente a partir de todos os sistemas ligados.
A investigação avançada no Microsoft Defender para Ponto de Extremidade permite que os clientes consultem dados através de um conjunto avançado de capacidades. Os eventos do Controlo de Aplicações podem ser consultados através de um ActionType que começa com "AppControl". Esta capacidade é suportada a partir da versão 1607 do Windows.
Tipos de Ação
Nome do ActionType | ID do Evento de Origem etw | Descrição |
---|---|---|
AppControlCodeIntegrityDriverRevoked | 3023 | O ficheiro de controlador em validação não cumpriu os requisitos para passar a política de Controlo de Aplicações. |
AppControlCodeIntegrityImageRevoked | 3036 | O ficheiro assinado sob validação é assinado por um certificado de assinatura de código que foi revogado pela Microsoft ou pela autoridade emissora de certificados. |
AppControlCodeIntegrityPolicyAudited | 3076 | Este evento é o main evento de bloqueio do Controlo de Aplicações para Empresas para políticas de modo de auditoria. Indica que o ficheiro teria sido bloqueado se a política de Controlo de Aplicações fosse imposta. |
AppControlCodeIntegrityPolicyBlocked | 3077 | Este evento é o main evento de bloqueio do Controlo de Aplicações para Empresas para políticas impostas. Indica que o ficheiro não passou na política de Controlo de Aplicações e foi bloqueado. |
AppControlExecutableAudited | 8003 | Aplicado apenas quando o modo de imposição Apenas auditoria está ativado. Especifica que o ficheiro .exe ou .dll seria bloqueado se o modo de imposição impor regras estivesse ativado. |
AppControlExecutableBlocked | 8004 | O ficheiro .exe ou .dll não pode ser executado. |
AppControlPackagedAppAudited | 8021 | Aplicado apenas quando o modo de imposição Apenas auditoria está ativado. Especifica que a aplicação em pacote seria bloqueada se o modo de imposição Impor regras estivesse ativado. |
AppControlPackagedAppBlocked | 8022 | A aplicação em pacote foi bloqueada pela política. |
AppControlScriptAudited | 8006 | Aplicado apenas quando o modo de imposição Apenas auditoria está ativado. Especifica o script ou .msi ficheiro seria bloqueado se o modo de imposição Impor regras estivesse ativado. |
AppControlScriptBlocked | 8007 | O acesso ao nome de ficheiro é restringido pelo administrador. Aplicado apenas quando o modo de imposição Impor regras é definido direta ou indiretamente através Política de Grupo herança. Não é possível executar o script ou .msi ficheiro. |
AppControlCIScriptAudited | 8028 | Script de auditoria/ficheiro MSI gerado pela Política de Bloqueio do Windows (WLDP) que está a ser chamada pelos próprios anfitriões de script. |
AppControlCIScriptBlocked | 8029 | Bloquear script/ficheiro MSI gerado pela Política de Bloqueio do Windows (WLDP) a ser chamado pelos próprios anfitriões de script. |
AppControlCodeIntegrityOriginAllowed | 3090 | O ficheiro foi permitido devido à boa reputação (ISG) ou à origem de instalação (instalador gerido). |
AppControlCodeIntegrityOriginAudited | 3091 | Informações de reputação (ISG) e de origem de instalação (instalador gerido) para um ficheiro auditado. |
AppControlCodeIntegrityOriginBlocked | 3092 | Informações de reputação (ISG) e de origem de instalação (instalador gerido) para um ficheiro bloqueado. |
AppControlCodeIntegrityPolicyLoaded | 3099 | Indica que uma política foi carregada com êxito. |
AppControlCodeIntegritySigningInformation | 3089 | Evento de informações de assinatura correlacionado com um evento 3076 ou 3077. É gerado um evento 3089 para cada assinatura de um ficheiro. |
AppControlPolicyApplied | 8001 | Indica que a política appLocker foi aplicada com êxito ao computador. |
Saiba mais sobre os IDs de eventos do Controlo de Aplicações (Windows)
Exemplo de Consultas Avançadas de Controlo de Aplicações de Investigação
Exemplo de Consulta 1: Consultar os tipos de ações do Controlo de Aplicações resumidos por tipo nos últimos sete dias
Eis uma consulta de exemplo simples que mostra todos os eventos do Controlo de Aplicações para Empresas gerados nos últimos sete dias a partir de máquinas a serem monitorizadas por Microsoft Defender para Ponto de Extremidade:
DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc
Os resultados da consulta podem ser utilizados para várias funções importantes relacionadas com a gestão do Controlo de Aplicações para Empresas, incluindo:
- Avaliar o impacto da implementação de políticas no modo de auditoria Uma vez que as aplicações ainda são executadas no modo de auditoria, é a forma ideal de ver o impacto e a correção das regras incluídas na política. Integrar os eventos gerados com a Investigação Avançada torna muito mais fácil ter implementações abrangentes de políticas de modo de auditoria e ver como as regras incluídas influenciariam esses sistemas na utilização do mundo real. Estes dados do modo de auditoria ajudarão a simplificar a transição para a utilização de políticas no modo imposto.
- Monitorizar blocos de políticas no modo imposto As políticas implementadas no modo imposto podem bloquear executáveis ou scripts que não cumpram qualquer uma das regras de permissão incluídas. Podem ser bloqueadas novas aplicações e atualizações legítimas ou software potencialmente indesejável ou malicioso. Em ambos os casos, as consultas de investigação avançadas comunicam os blocos para uma investigação mais aprofundada.
Exemplo de Consulta n.º 2: Consulta para determinar os blocos de auditoria nos últimos sete dias
DeviceEvents
| where ActionType startswith "AppControlExecutableAudited"
| where Timestamp > ago(7d)
|project DeviceId, // the device ID where the audit block happened
FileName, // The audit blocked app's filename
FolderPath, // The audit blocked app's system path without the FileName
InitiatingProcessFileName, // The file name of the parent process loading the executable
InitiatingProcessVersionInfoCompanyName, // The company name of the parent process loading the executable
InitiatingProcessVersionInfoOriginalFileName, // The original file name of the parent process loading the executable
InitiatingProcessVersionInfoProductName, // The product name of the parent process loading the executable
InitiatingProcessSHA256, // The SHA256 flat hash of the parent process loading the executable
Timestamp, // The event creation timestamp
ReportId, // The report ID - randomly generated by MDE AH
InitiatingProcessVersionInfoProductVersion, // The product version of the parent process loading the executable
InitiatingProcessVersionInfoFileDescription, // The file description of the parent process loading the executable
AdditionalFields // Additional fields contains FQBN for signed binaries. These contain the CN of the leaf certificate, product name, original filename and version of the audited binary