tsukaito
Goto Top

Event-ID 5038 flutet Ereignisanzeige und Ereignisweiterleitung

Hallo zusammen,

ich habe folgende Herausforderung und finde so recht keine Lösung:

Wir sammeln bestimmte Windows-Events von den Clients in einem zentralen System um Unregelmäßigkeiten zu erkennen. Dazu habe ich eine Quellcomputer initierte Ereignisweiterleitung für bestimmte Event-IDs erstellt. Das funktioniert alles problemlos.
Wir haben nur das Problem, dass aktuell sehr viele Events mit ID 5038 durch einen Bug (by Design?) im Defender erzeugt werden. Hier meldet der Defender einen Hashfehler für die AMSI-DLL unseres Virenscanners (Scheinbar ein Problem der digitalen Signatur). Das Problem wird im Internet auch viel diskutiert, aber es gibt keine Lösung. Ich hatte hier bereits Kontakt mit mit dem Virenscanner-Hersteller und der schieb es auf MS. Normalerweis kann ich das Event ignorieren, aber durch die Ereignisweiterleitung werden da plötzlich größere Datenmengen über VPN-Leitungen geschoben (20.000 bis 30.000 Events pro Stunde).
Als Beispiel für eine solche Diskussion: https://forum.eset.com/topic/25035-program-fileseseteset-nod32-antivirus ...

Ich kann das AMSI-Feature auch nicht abschalten, da es für Script- und Makro-Virenerkennung benötigt wird.
Gibt es hier eine Möglichkeit die Events 5038 für diese DLL zu unterdrücken bzw. nicht weiterzuleiten?
Ich dachte an eine DLL-Exclusion, aber bin bis heute leider nicht fündig geworden.

Da es da Problem bei einigen großen Virenscanner-Hersteller gibt, die Frage in die Runde, ob jemand hierfür eine Lösung hat!
Vielen dank im Voraus!

Viele Grüße
tsukaito

Content-ID: 1820629654

Url: https://administrator.de/contentid/1820629654

Printed on: November 10, 2024 at 19:11 o'clock

colinardo
colinardo Feb 03, 2022 updated at 10:18:10 (UTC)
Goto Top
Servus @tsukaito, willkommen auf Administrator.de!
Das lässt sich über einen manuell definierten XPATH-Filter für die zu sammelnden Events definieren.
Wenn du hier mal das Event-XML für die DLL im Klartext postest inkl. deinem definierten EventID-Filter kann ich dir die entsprechende Ausnahme für den Filter dazu schreiben.
Beispiel wie so was aussehen kann
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[(EventID=5038)] and EventData[Data[@Name='param1']!='\Device\HarddiskVolume3\Program Files\ESET\ESET NOD32 Antivirus\eamsi.dll']]</Select>  
  </Query>
</QueryList>
Der Filter definiert das nur Events mit ID 5038 die nicht die entsprechende DLL im Data "param1" Feld enthalten weitergeleitet werden. Das XPath Featureset im Eventlog ist leider eingeschränkt da Like Funktionen wie contains(),substring(),ends-with() & co. nicht supported werden, so das man hier nur die ganze Zeichenfolge des Parameters vergleichen kann.

Alternativ zum Ändern des Filters, definiere für die DLL im Defender eine Scan-Ausnahme.

Grüße Uwe
tsukaito
tsukaito Feb 03, 2022 at 16:04:01 (UTC)
Goto Top
Hallo Uwe,

vielen Dank für die schnelle Antwort. Das ist echt gut!!! Damit könnte ich wirklich etwas erreichen.
Ich habe nur das Problem, dass sich das HarddiskVolume ändert. Das könnte ich aber abfangen, in dem ich mehrere Querys mit einer ODER-Verknüpfung verschachtle. Vielleicht kannst Du mir hier noch mal kurz Schützenhilfe geben und mir den Syntax "vorkauen", denn ich für die Verschachtelung benötige. Hier mal die originale Meldung:

2022-02-03 16_59_37-ereignisanzeige

Und der param1 habe ich in der Version:
\Device\HarddiskVolume2\Program Files (x86)\F-Secure\Client Security\Ultralight\ulcore\1643792581\fsamsi64.dll
\Device\HarddiskVolume3\Program Files (x86)\F-Secure\Client Security\Ultralight\ulcore\1643792581\fsamsi64.dll
\Device\HarddiskVolume4\Program Files (x86)\F-Secure\Client Security\Ultralight\ulcore\1643792581\fsamsi64.dll

Wie verbinde ich diese in der Query, damit alle Ereignisse entsprechend entfernt werden.
Die Ausnahme beim Defender hat leider nichts gebracht.

Vielen Dank!
Grüße
tsukaito
colinardo
Solution colinardo Feb 03, 2022 updated at 16:18:22 (UTC)
Goto Top
Zitat von @tsukaito:
Wie verbinde ich diese in der Query, damit alle Ereignisse entsprechend entfernt werden.
Die Ausnahme beim Defender hat leider nichts gebracht.

Das hier listet bspw, nur Events mit ID 5038 mit Außnahme jener die deine oben genannten Pfade enthalten.
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[(EventID=5038)] and EventData[Data[@Name='param1']!='\Device\HarddiskVolume2\Program Files (x86)\F-Secure\Client Security\Ultralight\ulcore\1643792581\fsamsi64.dll' and Data[@Name='param1']!='\Device\HarddiskVolume3\Program Files (x86)\F-Secure\Client Security\Ultralight\ulcore\1643792581\fsamsi64.dll' and Data[@Name='param1']!='\Device\HarddiskVolume4\Program Files (x86)\F-Secure\Client Security\Ultralight\ulcore\1643792581\fsamsi64.dll']]</Select>  
  </Query>
</QueryList>
Weitere Querys mit zusätzlichen Event-IDs kannst du ja selbst hinzufügen.
Beispiel
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[(EventID=5038)] and EventData[Data[@Name='param1']!='\Device\HarddiskVolume2\Program Files (x86)\F-Secure\Client Security\Ultralight\ulcore\1643792581\fsamsi64.dll' and Data[@Name='param1']!='\Device\HarddiskVolume3\Program Files (x86)\F-Secure\Client Security\Ultralight\ulcore\1643792581\fsamsi64.dll' and Data[@Name='param1']!='\Device\HarddiskVolume4\Program Files (x86)\F-Secure\Client Security\Ultralight\ulcore\1643792581\fsamsi64.dll']]</Select>  
  </Query>
  <Query Id="1" Path="Security">  
    <Select Path="Security">*[System[(EventID=1234 or EventID=456 or EventID=789 )]]</Select>  
  </Query>
</QueryList>
Habe die weiteren Event-IDs in eine separate Query darunter gesteckt, könnte man auch in die obigen Filter mit einbauen aber das ist dann ehrlich gesagt der Übersicht nicht gerade zuträglich.

Grüße Uwe
tsukaito
tsukaito Feb 04, 2022 at 10:15:03 (UTC)
Goto Top
Hallo Uwe,

Du bist echt der Hammer! Das funktioniert super gut.
Vielen, vielen Dank sowohl für die gute Idee, also auch für die extrem schnellen Antworten.
Wochenende ist gerettet...wieder ein Punkt weniger auf der Liste - Dank Dir!

Schöne Grüße
tsukaito
colinardo
colinardo Feb 04, 2022 updated at 10:19:03 (UTC)
Goto Top
👍 Immer gerne.