通过

从向导中的应用控件事件创建应用控制策略规则

注意

适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性

版本 2.2.0.0 起,应用控制向导支持从以下事件日志类型创建应用控制策略规则:

  1. 系统上的应用控制事件日志事件
  2. 已从任何系统导出应用控制事件 (EVTX 文件)
  3. 已从MDE高级搜寻导出应用控制事件

应用控制事件查看器日志分析

若要从系统上的应用控制事件日志创建规则,请执行以下作:

  1. “main”页中选择“策略编辑器”。

  2. 选择“ 将事件日志转换为应用控制策略”。

  3. 选择“分析事件日志”下的“分析事件日志”按钮,从“系统”事件查看器到“策略”标头。

    该向导分析 CodeIntegrity (应用控制) 作和 AppLocker MSI 和脚本日志中的相关审核和阻止事件。 向导成功完成事件读取后,会看到一条通知。

    分析应用控件和 AppLocker 事件日志系统事件。

  4. 选择“下一步”按钮以查看审核和阻止事件并创建规则。

  5. 从事件生成规则

应用控制事件日志文件分析

若要从系统上的应用控制 .EVTX 事件日志文件创建规则,请执行以下作:

  1. “main”页中选择“策略编辑器”。

  2. 选择“ 将事件日志转换为应用控制策略”。

  3. 选择“ 分析事件日志 evtx 文件到策略 ”标头下的“分析日志文件 () ”按钮。

  4. 从磁盘中选择要分析的应用控制 CodeIntegrity 事件日志 EVTX 文件 () 。

    向导分析所选日志文件中的相关审核和阻止事件。 向导成功完成事件读取后,会看到一条通知。

    分析 evtx 文件应用控件事件

  5. 选择“下一步”按钮以查看审核和阻止事件并创建规则。

  6. 从事件生成规则

MDE高级搜寻应用控件事件分析

若要从MDE高级搜寻中的应用控件事件创建规则,请执行以下作:

  1. 导航到MDE控制台中的“高级搜寻”部分,并查询应用控制事件。 向导需要 高级搜寻 csv 文件导出中的以下字段:

    | project-keep Timestamp, DeviceId, DeviceName, ActionType, FileName, FolderPath, SHA1, SHA256, IssuerName, IssuerTBSHash, PublisherName, PublisherTBSHash, AuthenticodeHash, PolicyId, PolicyName

    建议使用以下高级搜寻查询:

    DeviceEvents
// Take only App Control events
| where ActionType startswith 'AppControlCodeIntegrity'
// SigningInfo Fields
| extend IssuerName = parsejson(AdditionalFields).IssuerName
| extend IssuerTBSHash = parsejson(AdditionalFields).IssuerTBSHash
| extend PublisherName = parsejson(AdditionalFields).PublisherName
| extend PublisherTBSHash = parsejson(AdditionalFields).PublisherTBSHash
// Audit/Block Fields
| extend AuthenticodeHash = parsejson(AdditionalFields).AuthenticodeHash
| extend PolicyId = parsejson(AdditionalFields).PolicyID
| extend PolicyName = parsejson(AdditionalFields).PolicyName
// Keep only required fields for the App Control Wizard
| project-keep Timestamp,DeviceId,DeviceName,ActionType,FileName,FolderPath,SHA1,SHA256,IssuerName,IssuerTBSHash,PublisherName,PublisherTBSHash,AuthenticodeHash,PolicyId,PolicyName

  2. 通过在结果视图中选择“导出”按钮, 导出 应用控件事件结果。

    将MDE高级搜寻结果导出到 CSV

  3. “main”页中选择“策略编辑器”。

  4. 选择“ 将事件日志转换为应用控制策略”。

  5. 选择“分析MDE高级搜寻事件到策略”标头下的“分析日志文件 () ”按钮。

  6. 选择“应用控制MDE高级搜寻从磁盘导出 CSV 文件进行分析。

    向导将分析所选高级搜寻日志文件中的相关审核和阻止事件。 向导成功完成事件读取后,会看到一条通知。

    分析高级搜寻 CSV 应用控制事件文件。

  7. 选择“下一步”按钮以查看审核和阻止事件并创建规则。

  8. 从事件生成规则

从事件创建策略规则

在“配置事件日志规则”页上,表中显示了唯一的应用控制日志事件。 表中显示了事件 ID、文件名、产品名称、审核或阻止该文件的策略名称以及文件发布者。 可以通过单击任何标题来按字母顺序对表进行排序。

若要创建规则并将其添加到应用控制策略,请执行以下作:

  1. 通过选择感兴趣的行,选择表中的审核或阻止事件。

  2. 从下拉列表中选择规则类型。 向导支持创建发布服务器、路径、文件属性、打包应用和哈希规则。

  3. 使用为规则类型提供的复选框,选择应添加到策略规则的属性和字段。

  4. 选择“ 添加允许规则 ”按钮,将配置的规则添加到向导生成的策略。 “已添加到策略”标签显示在所选行中,确认将生成规则。

    向应用控制策略添加发布者规则

  5. 选择“ 下一步 ”按钮以输出策略。 生成后,事件日志策略应与基本策略或补充策略合并。

警告

不建议自行部署事件日志策略,因为它可能缺少授权 Windows 的规则,并可能导致蓝屏。

下一步