Undersøg en fil
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Undersøg detaljerne i en fil, der er knyttet til en bestemt besked, funktionsmåde eller hændelse, for at finde ud af, om filen udviser skadelige aktiviteter, identificere angrebsmotivationen og forstå det potentielle omfang af sikkerhedsbrud.
Der er mange måder at få adgang til den detaljerede profilside i en bestemt fil på. Du kan f.eks. bruge søgefunktionen, klikke på et link fra træet for beskedproces, hændelsesgraf, artefakttidslinje eller vælge en hændelse, der er angivet på enhedens tidslinje.
Når du er på den detaljerede profilside, kan du skifte mellem det nye og det gamle sidelayout ved at slå den nye filside til. I resten af denne artikel beskrives det nyere sidelayout.
Du kan hente oplysninger fra følgende afsnit i filvisningen:
- Filoplysninger og PE-metadata (hvis de findes)
- Hændelser og beskeder
- Observeret i organisationen
- Filnavne
- Filindhold og -egenskaber (hvis en fil er blevet analyseret af Microsoft)
Du kan også udføre handlinger på en fil fra denne side.
Filhandlinger
Filhandlingerne er over kortene med filoplysninger øverst på profilsiden. De handlinger, du kan udføre her, omfatter:
- Stop og sæt karantæne
- Administrer indikator
- Download fil
- Spørg Defender-eksperter
- Manuelle handlinger
- Gå på jagt
- Dybdegående analyse
Se Udfør svarhandling på en fil for at få flere oplysninger om disse handlinger.
Oversigt over filside
Filsiden indeholder en oversigt over filens oplysninger og attributter, hændelser og beskeder, hvor filen ses, anvendte filnavne, antallet af enheder, hvor filen blev set inden for de sidste 30 dage, herunder de datoer, hvor filen blev først og sidst set i organisationen, registreringsforhold for virustotal, Microsoft Defender Antivirus-registrering, antallet af cloudapps, der er forbundet til filen, og filens prævalens på enheder uden for organisationen.
Bemærk!
Forskellige brugere kan se forskellige værdier i afsnittet enheder i organisationen på filprævalenskortet. Dette skyldes, at kortet viser oplysninger, der er baseret på det rollebaserede adgangskontrolområde (RBAC), som en bruger har. Det betyder, at hvis en bruger er blevet tildelt synlighed på et bestemt sæt enheder, kan vedkommende kun se filens organisationsprævalens på disse enheder.
Hændelser og beskeder
Fanen Hændelser og beskeder indeholder en liste over hændelser, der er knyttet til filen, og de beskeder, som filen er knyttet til. Denne liste dækker mange af de samme oplysninger som hændelseskøen. Du kan vælge, hvilken type oplysninger der skal vises, ved at vælge Tilpas kolonner. Du kan også filtrere listen ved at vælge Filtrer.
Observeret i organisationen
Under fanen Observeret i organisationen kan du se de enheder og cloudapps, der er blevet observeret med filen. Filhistorik, der er relateret til enheder, kan vises op til de seneste seks måneder, hvorimod cloudapps-relateret historik er op til de sidste 30 dage
Enheder
I dette afsnit vises alle de enheder, hvor filen er registreret. Afsnittet indeholder en tendensrapport, der identificerer antallet af enheder, hvor filen er blevet observeret inden for de seneste 30 dage. Under tendenslinjen kan du finde detaljerede oplysninger om filen på hver enhed, hvor den ses, herunder status for udførelse af filer, hændelser for første og sidste gang, der vises på hver enhed, startproces og tid samt filnavne, der er knyttet til en enhed.
Du kan klikke på en enhed på listen for at udforske hele seks måneders filhistorikken på hver enhed og pivotere til den første sete begivenhed på enhedens tidslinje.
Cloudapps
Bemærk!
Arbejdsbelastningen for Defender for Cloud Apps skal være aktiveret for at få vist filoplysninger, der er relateret til cloudapps.
I dette afsnit vises alle de cloudprogrammer, hvor filen er blevet observeret. Den indeholder også oplysninger som f.eks. filens navne, de brugere, der er knyttet til appen, antallet af match til en bestemt cloudapppolitik, tilknyttede apps' navne, hvornår filen sidst blev ændret, og filens sti.
Filnavne
Under fanen Filnavne vises alle de navne, som filen er blevet observeret til brug i din organisation.
Filindhold og -egenskaber
Bemærk!
Filindholds- og funktionalitetsvisninger afhænger af, om Microsoft har analyseret filen.
Under fanen Filindhold vises oplysninger om pe-filer (portable executable), herunder processkrivninger, procesoprettelse, netværksaktiviteter, filskrivninger, filsletninger, læsninger i registreringsdatabasen, registreringsdatabaseskrivninger, strenge, import og eksporter. Under denne fane vises også alle filens egenskaber.
Visningen filegenskaber viser en fils aktiviteter, som er knyttet til MITRE ATT-&CK-teknikkerne™.
Relaterede emner
- Få vist og organiser køen Microsoft Defender for Endpoint
- Administrer Microsoft Defender for Endpoint beskeder
- Undersøg Microsoft Defender for Endpoint beskeder
- Undersøg enheder på listen over Microsoft Defender for Endpoint enheder
- Undersøg en IP-adresse, der er knyttet til en Microsoft Defender for Endpoint besked
- Undersøg et domæne, der er knyttet til en Microsoft Defender for Endpoint besked
- Undersøg en brugerkonto i Microsoft Defender for Endpoint
- Udfør svarhandlinger på en fil
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.