Sdílet prostřednictvím


Prozkoumání souboru

Platí pro:

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Prozkoumejte podrobnosti souboru přidruženého ke konkrétnímu upozornění, chování nebo události, abyste mohli zjistit, jestli soubor vykazuje škodlivé aktivity, identifikovat motivaci k útoku a pochopit potenciální rozsah porušení zabezpečení.

Existuje mnoho způsobů, jak získat přístup k stránce s podrobným profilem konkrétního souboru. Můžete například použít funkci vyhledávání, kliknout na odkaz ze stromu procesu upozornění, grafu incidentu, časové osy artefaktů nebo vybrat událost uvedenou na časové ose zařízení.

Na stránce s podrobným profilem můžete přepínat mezi novým a starým rozložením stránky tak, že přepnete novou stránku Soubor. Zbývající část tohoto článku popisuje novější rozložení stránky.

V zobrazení souborů můžete získat informace z následujících částí:

  • Podrobnosti o souboru a metadata PE (pokud existují)
  • Incidenty a výstrahy
  • Pozorované v organizaci
  • Názvy souborů
  • Obsah a možnosti souborů (pokud byl soubor analyzován Microsoftem)

Můžete také provést akci se souborem z této stránky.

Akce souborů

Akce souborů jsou nad kartami informací o souborech v horní části stránky profilu. Mezi akce, které tady můžete provést, patří:

  • Zastavení a karanténa
  • Spravovat indikátor
  • Stáhnout soubor
  • Zeptejte se odborníků na Defender
  • Ruční akce
  • Běžte lovit
  • Hloubková analýza

Další informace o těchto akcích najdete v tématu Provedení akce odpovědi u souboru .

Přehled stránky souboru

Stránka souboru nabízí přehled podrobností a atributů souboru, incidentů a výstrah, kdy se soubor zobrazuje, použitých názvů souborů, počtu zařízení, kde byl soubor zobrazen za posledních 30 dnů, včetně dat, kdy byl soubor v organizaci první a naposledy vidět, poměr celkové detekce virů. Microsoft Defender detekci antivirové ochrany, počet cloudových aplikací připojených k souboru a rozšíření souboru v zařízeních mimo organizaci.

Poznámka

Různí uživatelé můžou v zařízeních v oddílu organizace na kartě prevalenci souboru vidět odlišné hodnoty. Je to proto, že karta zobrazuje informace na základě oboru řízení přístupu na základě role (RBAC), který má uživatel. To znamená, že pokud je uživateli udělena viditelnost na konkrétní sadě zařízení, uvidí na těchto zařízeních jenom organizační rozšíření souboru.

Snímek obrazovky s přehledem stránky Soubor

Incidenty a výstrahy

Karta Incidenty a výstrahy obsahuje seznam incidentů přidružených k souboru a výstrah, se kterými je soubor propojený. Tento seznam obsahuje do značné míry stejné informace jako fronta incidentů. Pokud chcete vybrat, jaký druh informací se zobrazí, vyberte Přizpůsobit sloupce. Seznam můžete také filtrovat tak, že vyberete Filtr.

Snímek obrazovky znázorňující incidenty a výstrahy

Pozorované v organizaci

Na kartě Pozorované v organizaci se zobrazí zařízení a cloudové aplikace, které soubor zaznamenal. Historii souborů související se zařízeními je možné zobrazit až za posledních šest měsíců, zatímco historie související s cloudovými aplikacemi je až za posledních 30 dnů.

Zařízení

Tato část ukazuje všechna zařízení, kde je soubor zjištěn. Tato část obsahuje sestavu trendů, která identifikuje počet zařízení, na kterých byl soubor za posledních 30 dnů pozorován. Pod spojnicou trendu najdete podrobné informace o souboru na každém zařízení, kde je vidět, včetně stavu spuštění souboru, prvních a posledních událostí na každém zařízení, zahájení procesu a času a názvů souborů přidružených k zařízení.

Kliknutím na zařízení v seznamu můžete prozkoumat celou šestiměsíční historii souborů na každém zařízení a přejít na první zobrazenou událost na časové ose zařízení.

Snímek obrazovky se stránkou zařízení v souboru

Cloudové aplikace

Poznámka

Aby bylo možné zobrazit informace o souborech souvisejících s cloudovými aplikacemi, musí být povolená úloha Defender for Cloud Apps.

Tato část ukazuje všechny cloudové aplikace, ve kterých se soubor pozoruje. Obsahuje také informace, jako jsou názvy souborů, uživatelé přidružení k aplikaci, počet shod s konkrétní zásadou cloudové aplikace, názvy přidružených aplikací, čas poslední změny souboru a cesta k souboru.

Snímek obrazovky se stránkou cloudových aplikací v souboru

Názvy souborů

Karta Názvy souborů obsahuje seznam všech názvů, u které jste zjistili, že se soubor používá ve vaší organizaci.

Karta Názvy souborů

Obsah a možnosti souborů

Poznámka

Obsah souboru a zobrazení možností závisí na tom, jestli Microsoft soubor analyzoval.

Karta Obsah souboru obsahuje informace o přenosných spustitelných souborech (PE), včetně zápisů procesů, vytváření procesů, síťových aktivit, zápisů souborů, odstraňování souborů, čtení z registru, zápisů do registru, řetězců, importů a exportů. Na této kartě jsou také uvedeny všechny možnosti souboru.

Snímek obrazovky s obsahem souboru

Zobrazení možností souboru obsahuje seznam aktivit souboru namapovaných na techniky MITRE ATT&CK™.

Snímek obrazovky s možnostmi souboru

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.