Creazione di regole dei criteri di controllo delle app da eventi di controllo app nella procedura guidata

A partire dalla versione 2.2.0.0, la Creazione guidata controllo app supporta la creazione di regole dei criteri di Controllo app dai tipi di log eventi seguenti:

1. Eventi del registro eventi di Controllo app nel sistema
2. Eventi di controllo delle app esportati (file EVTX) da qualsiasi sistema
3. Eventi di controllo delle app esportati da MDE Ricerca avanzata

Controllo app Visualizzatore eventi analisi log

Per creare regole dai log eventi di Controllo app nel sistema:

1. Selezionare Criteri Editor nella pagina principale.

2. Selezionare Converti registro eventi in un criterio di controllo dell'app.

3. Selezionare il pulsante Analizza log eventi sotto l'intestazione Analizza log eventi dall'intestazione System Visualizzatore eventi to Policy .Select the Parse Event Logs in the Parse Event Logs from the System Visualizzatore eventi to Policy.

   La procedura guidata analizza gli eventi di controllo e blocco pertinenti dai log operativi codeintegrity (controllo app) e msi e script di AppLocker. Viene visualizzata una notifica quando la procedura guidata termina correttamente la lettura degli eventi.

   

4. Selezionare il pulsante Avanti per visualizzare gli eventi di controllo e blocco e creare regole.

5. Generare regole dagli eventi.

Analisi dei file del log eventi del controllo app

Per creare regole dai file dei log eventi di Controllo .EVTX app nel sistema:

1. Selezionare Criteri Editor nella pagina principale.

2. Selezionare Converti registro eventi in un criterio di controllo dell'app.

3. Selezionare il pulsante Analizza file di log nell'intestazione Analizza file di log eventi evtx in Criteri .

4. Selezionare il file EVTX del registro eventi di controllo app EVTX dal disco da analizzare.

   La procedura guidata analizza gli eventi di controllo e blocco pertinenti dai file di log selezionati. Viene visualizzata una notifica quando la procedura guidata termina correttamente la lettura degli eventi.

   

5. Selezionare il pulsante Avanti per visualizzare gli eventi di controllo e blocco e creare regole.

6. Generare regole dagli eventi.

analisi degli eventi del controllo app di ricerca avanzata MDE

Per creare regole dagli eventi controllo app in MDE Ricerca avanzata:

1. Passare alla sezione Ricerca avanzata all'interno della console di MDE ed eseguire query sugli eventi di Controllo app. La procedura guidata richiede i campi seguenti nell'esportazione di file CSV di ricerca avanzata:

   | project-keep Timestamp, DeviceId, DeviceName, ActionType, FileName, FolderPath, SHA1, SHA256, IssuerName, IssuerTBSHash, PublisherName, PublisherTBSHash, AuthenticodeHash, PolicyId, PolicyName
   

   È consigliabile eseguire la query di ricerca avanzata seguente:

   DeviceEvents
   // Take only App Control events
   | where ActionType startswith 'AppControlCodeIntegrity'
   // SigningInfo Fields
   | extend IssuerName = parsejson(AdditionalFields).IssuerName
   | extend IssuerTBSHash = parsejson(AdditionalFields).IssuerTBSHash
   | extend PublisherName = parsejson(AdditionalFields).PublisherName
   | extend PublisherTBSHash = parsejson(AdditionalFields).PublisherTBSHash
   // Audit/Block Fields
   | extend AuthenticodeHash = parsejson(AdditionalFields).AuthenticodeHash
   | extend PolicyId = parsejson(AdditionalFields).PolicyID
   | extend PolicyName = parsejson(AdditionalFields).PolicyName
   // Keep only required fields for the App Control Wizard
   | project-keep Timestamp,DeviceId,DeviceName,ActionType,FileName,FolderPath,SHA1,SHA256,IssuerName,IssuerTBSHash,PublisherName,PublisherTBSHash,AuthenticodeHash,PolicyId,PolicyName
   

2. Esportare i risultati dell'evento Controllo app selezionando il pulsante Esporta nella visualizzazione risultati.

   

3. Selezionare Criteri Editor nella pagina principale.

4. Selezionare Converti registro eventi in un criterio di controllo dell'app.

5. Selezionare il pulsante Analizza file di log sotto l'intestazione "Analizza MDE eventi di ricerca avanzata in criteri".

6. Selezionare il controllo app MDE Ricerca avanzata esportare i file CSV dal disco per analizzarlo.

   La procedura guidata analizzerà gli eventi di controllo e di blocco pertinenti dai file di log di Ricerca avanzata selezionati. Viene visualizzata una notifica quando la procedura guidata termina correttamente la lettura degli eventi.

   

7. Selezionare il pulsante Avanti per visualizzare gli eventi di controllo e blocco e creare regole.

8. Generare regole dagli eventi.

Creazione di regole dei criteri dagli eventi

Nella pagina "Configura regole registro eventi" vengono visualizzati gli eventi univoci del log di Controllo app nella tabella . Gli ID evento, i nomi di file, i nomi dei prodotti, il nome del criterio che ha controllato o bloccato il file e l'autore del file sono tutti visualizzati nella tabella. La tabella può essere ordinata in ordine alfabetico facendo clic su una qualsiasi delle intestazioni.

Per creare una regola e aggiungerla ai criteri di Controllo app:

1. Selezionare un evento di controllo o blocco nella tabella selezionando la riga di interesse.

2. Selezionare un tipo di regola dall'elenco a discesa. La procedura guidata supporta la creazione di regole di pubblicazione, percorso, attributo file, app in pacchetto e hash.

3. Selezionare gli attributi e i campi da aggiungere alle regole dei criteri usando le caselle di controllo specificate per il tipo di regola.

4. Selezionare il pulsante Aggiungi regola consenti per aggiungere la regola configurata ai criteri generati dalla procedura guidata. L'etichetta "Aggiunta ai criteri" viene visualizzata nella riga selezionata che conferma che la regola verrà generata.

   

5. Selezionare il pulsante Avanti per restituire i criteri. Dopo la generazione, i criteri del registro eventi devono essere uniti ai criteri di base o supplementari.

Il prossimo

• Unione dei criteri di Controllo app per le aziende tramite la procedura guidata