Provádění akcí odezvy na soubor

  • Článek

Platí pro:

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Rychle reagujte na zjištěné útoky zastavením a karanténou souborů nebo blokováním souborů. Po provedení akce se soubory můžete zkontrolovat podrobnosti o aktivitě v Centru akcí.

Akce odpovědí jsou k dispozici na stránce s podrobným profilem souboru. Na této stránce můžete přepínat mezi novým a starým rozložením stránky tak, že přepnete novou stránku Soubor. Zbývající část tohoto článku popisuje novější rozložení stránky.

Akce odpovědi se spouštějí v horní části stránky souboru a zahrnují:

  • Zastavení souboru a umístění do karantény
  • Spravovat indikátor
  • Stáhnout soubor
  • Shromáždit soubor
  • Zeptejte se odborníků na Defender
  • Ruční akce
  • Běžte lovit
  • Hloubková analýza

Poznámka

Pokud používáte Defender for Endpoint Plan 1, můžete určité akce odpovědi provést ručně. Další informace najdete v tématu Akce ruční odpovědi.

Můžete také odeslat soubory k hloubkové analýze a spustit soubor v zabezpečeném cloudovém sandboxu. Po dokončení analýzy získáte podrobnou sestavu s informacemi o chování souboru. Výběrem akce Hloubková analýza můžete odeslat soubory k hloubkové analýze a přečíst si minulé sestavy.

Některé akce vyžadují určitá oprávnění. Následující tabulka popisuje, jakou akci můžou určitá oprávnění provést u přenosných spustitelných souborů (PE) a souborů mimo pe:

Oprávnění Soubory PE Jiné soubory než PE
Zobrazení dat X X
Šetření výstrah X
Základní živá odpověď X X
Rozšířená odezva v reálném prostředí

Další informace o rolích najdete v tématu Create a správa rolí pro řízení přístupu na základě rolí.

Zastavení a karanténa souborů v síti

Útok ve vaší organizaci můžete zabránit zastavením škodlivého procesu a uzavřením souboru do karantény tam, kde byl zjištěn.

Důležité

Tuto akci můžete provést pouze v těchto případech:

  • Zařízení, na kterém akci provádíte, používá Windows 10 verze 1703 nebo novější, Windows 11 a Windows Server 2012 R2+
  • Soubor nepatří důvěryhodným vydavatelům třetích stran nebo není podepsán společností Microsoft.
  • Microsoft Defender Antivirus musí běžet alespoň v pasivním režimu. Další informace najdete v tématu Microsoft Defender kompatibilita antivirové ochrany.

Akce Zastavit a umístit soubor do karantény zahrnuje zastavení spuštěných procesů, karanténu souborů a odstranění trvalých dat, jako jsou klíče registru.

Tato akce se projeví na zařízeních s Windows 10 verze 1703 nebo novější a Windows 11 a Serverem 2012 R2+, kde se soubor pozoroval během posledních 30 dnů.

Poznámka

Soubor budete moct kdykoli obnovit z karantény.

Zastavení souborů a jejich karanténa

  1. Vyberte soubor, který chcete zastavit a umístit do karantény. Soubor můžete vybrat z některého z následujících zobrazení nebo použít Search pole:

    • Výstrahy – vyberte odpovídající odkazy z popisu nebo podrobností na časové ose scénáře upozornění.
    • Search pole – v rozevírací nabídce vyberte Soubor a zadejte název souboru.

    Poznámka

    Akce Zastavit a umístit soubor do karantény je omezená na maximálně 1000 zařízení. Pokud chcete zastavit soubor na větším počtu zařízení, přečtěte si téma Přidání indikátoru pro blokování nebo povolení souboru.

  2. Přejděte na horní panel a vyberte Zastavit a umístit soubor do karantény.

    Akce zastavit a umístit soubor do karantény

  3. Zadejte důvod a pak vyberte Potvrdit.

    Stránka zastavit a umístit soubor do karantény

    V Centru akcí se zobrazí informace o odeslání:

    Centrum akcí zastavit a umístit soubor do karantény

    • Čas odeslání – zobrazuje, kdy byla akce odeslána.
    • Úspěch – zobrazuje počet zařízení, na kterých byl soubor zastaven a umístěn do karantény.
    • Selhání – zobrazuje počet zařízení, ve kterých se akce nezdařila, a podrobnosti o selhání.
    • Čeká na vyřízení – zobrazuje počet zařízení, na kterých se soubor ještě nezastaví a umístí do karantény. V případech, kdy je zařízení offline nebo není připojené k síti, může to nějakou dobu trvat.

  4. Výběrem některého z indikátorů stavu zobrazíte další informace o akci. Vyberte například Neúspěšné a podívejte se, kde se akce nezdařila.

Oznámení pro uživatele zařízení

Při odebírání souboru ze zařízení se zobrazí následující oznámení:

Oznámení uživatele zařízení

Na časové ose zařízení se přidá nová událost pro každé zařízení, ve kterém byl soubor zastaven a umístěn do karantény.

Před implementací akce pro soubory běžně používané v rámci organizace se zobrazí upozornění. Slouží k ověření, že je operace zamýšlená.

Obnovení souboru z karantény

Pokud jste po šetření zjistili, že je soubor čistý, můžete ho vrátit zpět a odebrat ho z karantény. Na každém zařízení, na kterém byl soubor umístěn do karantény, spusťte následující příkaz.

  1. Otevřete na zařízení příkazový řádek se zvýšenými oprávněními:

    1. Přejděte na Start a zadejte cmd.

    2. Klikněte pravým tlačítkem na Příkazový řádek a vyberte Spustit jako správce.

  2. Zadejte následující příkaz a stiskněte Enter:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All

    Poznámka

    V některých scénářích může název hrozby vypadat takto: EUS:Win32/CustomEnterpriseBlock!cl.

    Defender for Endpoint obnoví všechny vlastní blokované soubory, které byly na tomto zařízení v karanténě za posledních 30 dnů.

Důležité

Soubor, který byl umístěn do karantény jako potenciální síťová hrozba, nemusí být obnovitelný. Pokud se uživatel pokusí obnovit soubor po karanténě, nemusí být tento soubor přístupný. Důvodem může být to, že systém už nemá přihlašovací údaje k síti pro přístup k souboru. Obvykle je to důsledkem dočasného přihlášení k systému nebo sdílené složce a vypršení platnosti přístupových tokenů.

Stažení nebo získání souboru

Výběrem možnosti Stáhnout soubor z akcí odpovědi si můžete stáhnout místní archiv .zip chráněný heslem, který obsahuje váš soubor. Zobrazí se informační panel, do kterého můžete zaznamenat důvod stažení souboru a nastavit heslo.

Ve výchozím nastavení byste měli být schopni stahovat soubory, které jsou v karanténě.

Tlačítko Stáhnout soubor může mít následující stavy:

  • Aktivní – Soubor budete moct shromáždit.

  • Zakázáno – Pokud se tlačítko během aktivního pokusu o kolekci zobrazuje šedě nebo je zakázané, je možné, že nemáte příslušná oprávnění RBAC ke shromažďování souborů.

    Vyžadují se následující oprávnění:

    Pro Microsoft Defender XDR Sjednocené řízení přístupu na základě role (RBAC):

    • Přidání oprávnění ke shromažďování souborů v Microsoft Defender XDR Unified (RBAC)

    Pro Microsoft Defender for Endpoint řízení přístupu na základě role (RBAC):

    Pro přenosný spustitelný soubor (.exe, .sys, .dll a další)

    • Globální správce nebo rozšířená živá odpověď nebo upozornění

    Nepřenosný spustitelný soubor (.txt, .docx a další)

Akce stažení souboru

Stažení souborů v karanténě

Soubory, které byly uloženy do karantény Microsoft Defender Antivirus nebo vaším bezpečnostním týmem, budou uloženy vyhovujícím způsobem podle vašich ukázkových konfigurací odesílání. Váš bezpečnostní tým může stáhnout soubory přímo ze stránky podrobností souboru pomocí tlačítka Stáhnout soubor. Tato funkce je ve výchozím nastavení zapnutá.

Umístění závisí na geografickém nastavení vaší organizace (v EU, Spojeném království nebo USA). Soubor v karanténě se pro každou organizaci shromáždí jenom jednou. Další informace o ochraně dat microsoftu najdete na portálu Service Trust Portal na adrese https://aka.ms/STP.

Když je toto nastavení zapnuté, může to bezpečnostním týmům pomoct prozkoumat potenciálně chybné soubory a rychle a méně rizikovým způsobem vyšetřovat incidenty. Pokud ale potřebujete toto nastavení vypnout, přejděte do části Nastavení>Koncové body>Pokročilé funkce>Stáhnout soubory v karanténě a upravte nastavení. Další informace o pokročilých funkcích

Zálohování souborů v karanténě

V závislosti na konfiguraci ukázkového odeslání se uživatelům může zobrazit výzva k poskytnutí výslovného souhlasu před zálohováním souboru v karanténě.

Tato funkce nebude fungovat, pokud je vypnuté odesílání ukázek. Pokud je automatické odesílání vzorků nastavené tak, aby požadovalo oprávnění od uživatele, budou shromažďovány pouze ukázky, které uživatel souhlasí s odesláním.

Důležité

Stáhnout požadavky na soubory v karanténě:

  • Vaše organizace používá Microsoft Defender Antivirus v aktivním režimu
  • Verze antivirového modulu je 1.1.17300.4 nebo novější. Viz Měsíční verze platformy a modulu.
  • Cloudová ochrana je povolená. Viz Zapnutí cloudové ochrany.
  • Odesílání ukázek je zapnuté.
  • Zařízení mají Windows 10 verze 1703 nebo novější, Windows Server 2016 nebo 2019, Windows Server 2022 nebo Windows 11

Shromažďování souborů

Pokud Microsoft Defender for Endpoint soubor ještě neuložil, nemůžete ho stáhnout. Místo toho se ve stejném umístění zobrazí tlačítko Shromáždit soubor .

Tlačítko Shromáždit soubor může mít následující stavy:

  • Aktivní – Soubor budete moct shromáždit.

  • Zakázáno – Pokud se tlačítko během aktivního pokusu o kolekci zobrazuje šedě nebo je zakázané, je možné, že nemáte příslušná oprávnění RBAC ke shromažďování souborů.

    Vyžadují se následující oprávnění:

    Pro přenosný spustitelný soubor (.exe, .sys, .dll a další)

    • Globální správce nebo rozšířená živá odpověď nebo upozornění

    Nepřenosný spustitelný soubor (.txt, .docx a další)

    • Globální správce nebo rozšířená živá odpověď

Pokud se soubor v organizaci v posledních 30 dnech nezobrazuje, bude shromažďování souborů zakázané.

Důležité

Soubor, který byl umístěn do karantény jako potenciální síťová hrozba, nemusí být obnovitelný. Pokud se uživatel pokusí obnovit soubor po karanténě, nemusí být tento soubor přístupný. Důvodem může být to, že systém už nemá přihlašovací údaje k síti pro přístup k souboru. Obvykle je to důsledkem dočasného přihlášení k systému nebo sdílené složce a vypršení platnosti přístupových tokenů.

Přidání indikátoru pro blokování nebo povolení souboru

Zabraňte dalšímu šíření útoku ve vaší organizaci tím, že zakážete potenciálně škodlivé soubory nebo podezřelý malware. Pokud znáte potenciálně škodlivý přenosný spustitelný soubor (PE), můžete ho zablokovat. Tato operace zabrání jejímu čtení, zápisu nebo spuštění na zařízeních ve vaší organizaci.

Důležité

  • Tato funkce je dostupná, pokud vaše organizace používá Microsoft Defender antivirovou ochranu a je povolená cloudová ochrana. Další informace najdete v tématu Správa cloudové ochrany.

  • Verze antimalwarového klienta musí být 4.18.1901.x nebo novější.

  • Tato funkce je navržená tak, aby zabránila stažení podezřelého malwaru (nebo potenciálně škodlivých souborů) z webu. V současné době podporuje přenosné spustitelné soubory (PE), včetně souborů.exe a .dll . Pokrytí se bude v průběhu času prodlužovat.

  • Tato akce odpovědi je dostupná pro zařízení s Windows 10 verze 1703 nebo novější a Windows 11.

  • Funkci povolit nebo blokovat nelze u souborů provést, pokud klasifikace souboru existuje v mezipaměti zařízení před akcí povolit nebo blokovat.

Poznámka

Aby bylo možné provést tuto akci, soubor PE musí být na časové ose zařízení.

Mezi okamžikem provedení akce a skutečným zablokováním souboru může trvat několik minut latence.

Povolení funkce blokového souboru

Pokud chcete začít blokovat soubory, musíte nejdřív zapnout funkci Blokovat nebo povolit v Nastavení.

Povolit nebo blokovat soubor

Když pro soubor přidáte hodnotu hash ukazatele, můžete vyvolat upozornění a soubor zablokovat, kdykoli se ho zařízení ve vaší organizaci pokusí spustit.

Soubory automaticky blokované indikátorem se v centru akcí souboru nezobrazí, ale výstrahy budou stále viditelné ve frontě upozornění.

Další podrobnosti o blokování a generování upozornění na soubory najdete v tématu Správa indikátorů .

Pokud chcete zastavit blokování souboru, odeberte indikátor. Můžete to udělat pomocí akce Upravit indikátor na stránce profilu souboru. Tato akce bude viditelná na stejné pozici jako akce Přidat indikátor před přidáním indikátoru.

Indikátory můžete také upravit na stránce Nastavení v části Indikátory pravidel>. Indikátory jsou v této oblasti uvedeny podle hodnoty hash souboru.

Kontrola podrobností o aktivitě v Centru akcí

Centrum akcí poskytuje informace o akcích provedených na zařízení nebo souboru. Můžete zobrazit následující podrobnosti:

  • Kolekce balíčků šetření
  • Antivirová kontrola
  • Omezení aplikací
  • Izolace zařízení

Zobrazí se také všechny ostatní související podrobnosti, například datum a čas odeslání, odesílající uživatel a informace o tom, jestli akce proběhla úspěšně nebo selhala.

Centrum akcí s informacemi

Hloubková analýza

Kyberbezpečnostní šetření obvykle spouští výstraha. Výstrahy se vztahují k jednomu nebo několika pozorovaným souborům, které jsou často nové nebo neznámé. Výběrem souboru přejdete do zobrazení souboru, kde uvidíte metadata souboru. Pokud chcete rozšířit data související se souborem, můžete soubor odeslat k hloubkové analýze.

Funkce hloubkové analýzy spustí soubor v zabezpečeném, plně instrumentovaném cloudovém prostředí. Výsledky hloubkové analýzy ukazují aktivity souboru, pozorované chování a související artefakty, jako jsou vyřazené soubory, úpravy registru a komunikace s IP adresami. Hloubková analýza v současné době podporuje rozsáhlou analýzu přenosných spustitelných souborů (PE) (včetně souborů.exe a .dll ).

Hloubková analýza souboru trvá několik minut. Po dokončení analýzy souborů se karta Hloubková analýza aktualizuje a zobrazí souhrn a datum a čas nejnovějších dostupných výsledků.

Souhrn hloubkové analýzy obsahuje seznam pozorovaných chování, z nichž některé můžou indikovat škodlivou aktivitu, a pozorovatelné údaje, včetně kontaktovaných IP adres a souborů vytvořených na disku. Pokud se nic nenašlo, zobrazí se v těchto oddílech stručná zpráva.

Výsledky hloubkové analýzy se porovná s analýzou hrozeb a všechny shody vygenerují příslušná upozornění.

Pomocí funkce hloubkové analýzy můžete prozkoumat podrobnosti o jakémkoli souboru, obvykle během vyšetřování výstrahy nebo z jakéhokoli jiného důvodu, kdy máte podezření na škodlivé chování. Tato funkce je k dispozici v horní části stránky souboru. Vyberte tři tečky pro přístup k akci Hloubková analýza .

Snímek obrazovky s akcí Hloubková analýza

Informace o hloubkové analýze najdete v následujícím videu:

Odeslání k hloubkové analýze je povolené, když je soubor dostupný v ukázkové kolekci back-endu Defenderu for Endpoint nebo pokud byl zjištěn na Windows 10 zařízení, které podporuje odesílání do hloubkové analýzy.

Poznámka

Automaticky se dají shromažďovat jenom soubory z Windows 10, Windows 11 a Windows Server 2012 R2+.

Pokud soubor nebyl zjištěn na Windows 10 zařízení (nebo Windows 11 nebo Windows Server 2012 R2+), můžete také odeslat ukázku prostřednictvím portálu Microsoft Defender a počkat, až se zpřístupní tlačítko Odeslat pro hloubkovou analýzu.

Poznámka

Kvůli tokům zpracování back-endu na portálu Microsoft Defender může být mezi odesláním souboru a dostupností funkce hloubkové analýzy v Defenderu for Endpoint latence až 10 minut.

Odeslání souborů k hloubkové analýze

  1. Vyberte soubor, který chcete odeslat k hloubkové analýze. Soubor můžete vybrat nebo vyhledat v některém z následujících zobrazení:

    • Upozornění – vyberte odkazy na soubory v části Popis nebo Podrobnosti na časové ose scénáře upozornění.
    • Seznam Zařízení – vyberte odkazy na soubory v části Popis nebo Podrobnosti v části Zařízení v organizaci .
    • Search pole – v rozevírací nabídce vyberte Soubor a zadejte název souboru.

  2. Na kartě Hloubková analýza v zobrazení souborů vyberte Odeslat.

    Tlačítko odeslat soubory PE

    Poznámka

    Podporují se jenom soubory PE, včetně souborů.exe a .dll .

    Zobrazí se indikátor průběhu, který obsahuje informace o různých fázích analýzy. Po dokončení analýzy pak můžete sestavu zobrazit.

Poznámka

V závislosti na dostupnosti zařízení se může doba shromažďování vzorků lišit. U ukázkové kolekce je časový limit 3 hodin. Kolekce selže a operace se přeruší, pokud v tuto chvíli neexistuje žádné online Windows 10 zařízení (nebo Windows 11 nebo Windows Server 2012 R2+). Soubory můžete znovu odeslat k hloubkové analýze a získat tak do souboru aktuální data.

Zobrazení sestav hloubkové analýzy

Podívejte se na poskytnutou sestavu hloubkové analýzy a podívejte se na podrobnější přehledy o souboru, který jste odeslali. Tato funkce je k dispozici v kontextu zobrazení souborů.

Můžete si prohlédnout komplexní sestavu, která obsahuje podrobnosti o následujících částech:

  • Chování
  • Pozorovatelné

Uvedené podrobnosti vám můžou pomoct zjistit, jestli existují známky potenciálního útoku.

  1. Vyberte soubor, který jste odeslali k hloubkové analýze.

  2. Vyberte kartu Hloubková analýza . Pokud existují nějaké předchozí sestavy, zobrazí se na této kartě souhrn sestavy.

    Sestava hloubkové analýzy zobrazující podrobné informace z celé řady kategorií

Řešení potíží s hloubkou analýzou

Pokud při pokusu o odeslání souboru narazíte na problém, vyzkoušejte každý z následujících kroků při řešení potíží.

  1. Ujistěte se, že se jedná o soubor PE. Soubory PE mají obvykle přípony.exe nebo .dll (spustitelné programy nebo aplikace).

  2. Ujistěte se, že služba má k souboru přístup, že stále existuje a že není poškozený nebo upravený.

  3. Chvíli počkejte a zkuste soubor odeslat znovu. Fronta může být plná nebo došlo k dočasné chybě připojení nebo komunikace.

  4. Pokud nejsou nakonfigurované zásady ukázkové kolekce, je výchozím chováním povolit ukázkové shromažďování. Pokud je nakonfigurovaná, před opětovným odesláním souboru ověřte, že nastavení zásad umožňuje shromažďování vzorků. Při konfiguraci ukázkové kolekce zkontrolujte následující hodnotu registru:

    Path: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
Name: AllowSampleCollection
Type: DWORD
Hexadecimal value :
  Value = 0 - block sample collection
  Value = 1 - allow sample collection

  5. Změňte organizační jednotku prostřednictvím Zásady skupiny. Další informace najdete v tématu Konfigurace pomocí Zásady skupiny.

  6. Pokud tento postup problém nevyřeší, obraťte se na podporu.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.