Freigeben über


Untersuchen einer Datei

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Untersuchen Sie die Details einer Datei, die einer bestimmten Warnung, einem bestimmten Verhalten oder Ereignis zugeordnet ist, um festzustellen, ob die Datei schädliche Aktivitäten aufweist, die Angriffsmotivation zu identifizieren und den potenziellen Umfang der Sicherheitsverletzung zu verstehen.

Es gibt viele Möglichkeiten, auf die Detailprofilseite einer bestimmten Datei zuzugreifen. Sie können z. B. die Suchfunktion verwenden, auf einen Link aus der Warnungsprozessstruktur, dem Incidentdiagramm, dem Artefakt-Zeitleiste klicken oder ein Ereignis auswählen, das im gerätebasierten Zeitleiste aufgeführt ist.

Sobald Sie sich auf der Detailprofilseite befinden, können Sie zwischen dem neuen und dem alten Seitenlayout wechseln, indem Sie die neue Dateiseite umschalten. Im weiteren Verlauf dieses Artikels wird das neuere Seitenlayout beschrieben.

Informationen finden Sie in den folgenden Abschnitten in der Dateiansicht:

  • Dateidetails und PE-Metadaten (sofern vorhanden)
  • Vorfälle und Warnungen
  • Beobachtet in organization
  • Dateinamen
  • Dateiinhalte und -funktionen (wenn eine Datei von Microsoft analysiert wurde)

Sie können auch aktionen für eine Datei auf dieser Seite ausführen.

Dateiaktionen

Die Dateiaktionen befinden sich oberhalb der Dateiinformationskarten oben auf der Profilseite. Folgende Aktionen können Sie hier ausführen:

  • Beenden und unter Quarantäne stellen
  • Indikator verwalten
  • Datei herunterladen
  • Defender Experten fragen
  • Manuelle Aktionen
  • Suche starten
  • Tiefe Analyse

Weitere Informationen zu diesen Aktionen finden Sie unter Ausführen einer Antwortaktion für eine Datei .

Übersicht über Dateiseiten

Die Dateiseite bietet eine Übersicht über die Details und Attribute der Datei, die Vorfälle und Warnungen, bei denen die Datei angezeigt wird, die verwendeten Dateinamen, die Anzahl der Geräte, auf denen die Datei in den letzten 30 Tagen gesehen wurde, einschließlich der Datumsangaben, an denen die Datei zum ersten und letzten Mal in der organization angezeigt wurde, das Verhältnis zur Erkennung von Viren insgesamt Microsoft Defender Antivirenerkennung, die Anzahl der mit der Datei verbundenen Cloud-Apps und die Verbreitung der Datei auf Geräten außerhalb des organization.

Hinweis

Verschiedene Benutzer sehen möglicherweise unterschiedliche Werte in den Geräten in organization Abschnitt der Dateiprävalenz Karte. Dies liegt daran, dass die Karte Informationen basierend auf dem Bereich der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) eines Benutzers anzeigt. Dies bedeutet, dass, wenn einem Benutzer Sichtbarkeit auf einer bestimmten Gruppe von Geräten gewährt wurde, nur die dateiorganisatorische Prävalenz auf diesen Geräten angezeigt wird.

Screenshot der Übersicht über die Dateiseite

Vorfälle und Warnungen

Auf der Registerkarte Incidents and alerts (Vorfälle und Warnungen ) finden Sie eine Liste der Vorfälle, die der Datei zugeordnet sind, sowie der Warnungen, mit denen die Datei verknüpft ist. Diese Liste enthält einen Großteil der gleichen Informationen wie die Incidentwarteschlange. Sie können auswählen, welche Art von Informationen angezeigt wird, indem Sie Spalten anpassen auswählen. Sie können die Liste auch filtern, indem Sie Filter auswählen.

Screenshot: Incidents und Warnungen

Beobachtet in organization

Auf der Registerkarte Beobachtet in organization werden die Geräte und Cloud-Apps angezeigt, die mit der Datei beobachtet wurden. Der Dateiverlauf, der sich auf Geräte bezieht, kann bis zu den letzten sechs Monaten angezeigt werden, während der Verlauf mit Cloud-Apps bis zu den letzten 30 Tagen reicht.

Geräte

In diesem Abschnitt werden alle Geräte angezeigt, auf denen die Datei erkannt wird. Der Abschnitt enthält einen Trendbericht, der die Anzahl der Geräte angibt, auf denen die Datei in den letzten 30 Tagen beobachtet wurde. Unterhalb der Trendlinie finden Sie detaillierte Informationen zur Datei auf jedem Gerät, auf dem sie angezeigt wird, einschließlich der Dateiausführung status, der ersten und letzten Ereignisse auf jedem Gerät, dem Initiieren von Prozess und Uhrzeit sowie den Dateinamen, die einem Gerät zugeordnet sind.

Sie können auf ein Gerät in der Liste klicken, um den gesamten sechsmonatigen Dateiverlauf auf jedem Gerät zu untersuchen und zum ersten angezeigten Ereignis auf dem Gerät Zeitleiste zu wechseln.

Screenshot der Seite

Cloud-Apps

Hinweis

Die Defender for Cloud Apps-Workload muss aktiviert sein, um Dateiinformationen im Zusammenhang mit Cloud-Apps anzuzeigen.

In diesem Abschnitt werden alle Cloudanwendungen angezeigt, bei denen die Datei beobachtet wird. Es enthält auch Informationen wie die Namen der Datei, die mit der App verknüpften Benutzer, die Anzahl der Übereinstimmungen mit einer bestimmten Cloud-App-Richtlinie, die Namen der zugeordneten Apps, den Zeitpunkt der letzten Änderung der Datei und den Pfad der Datei.

Screenshot der Seite

Dateinamen

Auf der Registerkarte Dateinamen werden alle Namen aufgelistet, die die Datei in Ihren Organisationen verwendet hat.

Registerkarte

Dateiinhalte und -funktionen

Hinweis

Die Dateiinhalts- und Funktionsansichten hängen davon ab, ob Microsoft die Datei analysiert hat.

Auf der Registerkarte Dateiinhalt werden Informationen zu portablen ausführbaren Dateien (PE) aufgelistet, einschließlich Prozessschreibvorgängen, Prozesserstellung, Netzwerkaktivitäten, Dateischreibvorgängen, Dateilöschvorgängen, Registrierungslesevorgängen, Registrierungsschreibvorgängen, Zeichenfolgen, Importen und Exporten. Auf dieser Registerkarte werden auch alle Funktionen der Datei aufgelistet.

Screenshot: Inhalt einer Datei

In der Ansicht Dateifunktionen werden die Aktivitäten einer Datei aufgelistet, die den MITRE ATT-&CK-Techniken™ zugeordnet sind.

Screenshot der Funktionen einer Datei

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.