Investigación de un archivo
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Investigue los detalles de un archivo asociado a una alerta, comportamiento o evento específicos para ayudar a determinar si el archivo presenta actividades malintencionadas, identificar la motivación del ataque y comprender el posible ámbito de la infracción.
Hay muchas maneras de acceder a la página de perfil detallada de un archivo específico. Por ejemplo, puede usar la característica de búsqueda, hacer clic en un vínculo del árbol proceso de alertas, el gráfico de incidentes, la escala de tiempo de artefactos o seleccionar un evento que aparece en la escala de tiempo del dispositivo.
Una vez en la página de perfil detallada, puede cambiar entre los diseños de página nuevo y antiguo si cambia la nueva página Archivo. En el resto de este artículo se describe el diseño de página más reciente.
Puede obtener información de las secciones siguientes en la vista de archivos:
- Detalles del archivo y metadatos de PE (si existe)
- Incidentes y alertas
- Observado en la organización
- Nombres de archivo
- Contenido y funcionalidades de archivos (si Microsoft ha analizado un archivo)
También puede realizar acciones en un archivo desde esta página.
Acciones de archivo
Las acciones de archivo están encima de las tarjetas de información de archivo en la parte superior de la página de perfil. Entre las acciones que puede realizar aquí se incluyen:
- Detener y poner en cuarentena un archivo
- Indicador de administración
- Descargar archivo
- Preguntar a Expertos de Defender
- Acciones manuales
- Ir a la caza
- Análisis detallado
Consulte Acción de respuesta en un archivo para obtener más información sobre estas acciones.
Introducción a la página de archivos
La página de archivos ofrece información general sobre los detalles y atributos del archivo, los incidentes y alertas en los que se ve el archivo, los nombres de archivo usados, el número de dispositivos en los que se ha visto el archivo en los últimos 30 días, incluidas las fechas en que el archivo se ha visto por primera y última vez en la organización, relación de detección de virus total, Microsoft Defender detección de antivirus, el número de aplicaciones en la nube conectadas al archivo y la prevalencia del archivo en dispositivos fuera de la organización.
Nota:
Es posible que distintos usuarios vean valores diferentes en la sección dispositivos de la organización de la tarjeta de prevalencia de archivos. Esto se debe a que la tarjeta muestra información basada en el ámbito de control de acceso basado en rol (RBAC) que tiene un usuario. Esto significa que si a un usuario se le ha concedido visibilidad en un conjunto específico de dispositivos, solo verá la prevalencia de la organización del archivo en esos dispositivos.
Incidentes y alertas
La pestaña Incidentes y alertas proporciona una lista de incidentes asociados al archivo y las alertas a las que está vinculado el archivo. Esta lista cubre gran parte de la misma información que la cola de incidentes. Para elegir qué tipo de información se muestra, seleccione Personalizar columnas. También puede filtrar la lista seleccionando Filtrar.
Observado en la organización
La pestaña Observada en la organización muestra los dispositivos y las aplicaciones en la nube observados con el archivo. El historial de archivos relacionados con los dispositivos se puede mostrar hasta los últimos seis meses, mientras que el historial relacionado con las aplicaciones en la nube es hasta los últimos 30 días.
Dispositivos
En esta sección se muestran todos los dispositivos donde se detecta el archivo. La sección incluye un informe de tendencias que identifica el número de dispositivos en los que se ha observado el archivo en los últimos 30 días. Debajo de la línea de tendencia, puede encontrar información detallada sobre el archivo en cada dispositivo donde se ve, incluido el estado de ejecución del archivo, los eventos primero y últimos vistos en cada dispositivo, el proceso y el tiempo de inicio, y los nombres de archivo asociados a un dispositivo.
Puede hacer clic en un dispositivo de la lista para explorar el historial de archivos completo de seis meses en cada dispositivo y dinamizar hasta el primer evento visto en la escala de tiempo del dispositivo.
Aplicaciones en la nube
Nota:
La carga de trabajo de Defender for Cloud Apps debe estar habilitada para ver la información de archivo relacionada con las aplicaciones en la nube.
En esta sección se muestran todas las aplicaciones en la nube en las que se observa el archivo. También incluye información como los nombres del archivo, los usuarios asociados a la aplicación, el número de coincidencias con una directiva de aplicación en la nube específica, los nombres de las aplicaciones asociadas, la última vez que se modificó el archivo y la ruta de acceso del archivo.
Nombres de archivo
En la pestaña Nombres de archivo se enumeran todos los nombres que se han observado que el archivo debe usarse dentro de las organizaciones.
Contenido y funcionalidades de archivos
Nota:
El contenido del archivo y las vistas de funcionalidades dependen de si Microsoft ha analizado el archivo.
En la pestaña Contenido del archivo se muestra información sobre archivos ejecutables portátiles (PE), incluidas las escrituras de procesos, la creación de procesos, las actividades de red, las escrituras de archivos, las eliminaciones de archivos, las lecturas del Registro, las escrituras del Registro, las cadenas, las importaciones y las exportaciones. En esta pestaña también se enumeran todas las funcionalidades del archivo.
La vista de funcionalidades de archivo muestra las actividades de un archivo asignadas a las técnicas de MITRE ATT&CK™.
Temas relacionados
- Visualización y organización de la cola de Microsoft Defender para punto de conexión
- Administrar alertas de Microsoft Defender para punto de conexión
- Investigar alertas de Microsoft Defender para punto de conexión
- Investigación de dispositivos en la lista de dispositivos Microsoft Defender para punto de conexión
- Investigación de una dirección IP asociada a una alerta de Microsoft Defender para punto de conexión
- Investigación de un dominio asociado a una alerta de Microsoft Defender para punto de conexión
- Investigación de una cuenta de usuario en Microsoft Defender para punto de conexión
- Realizar acciones de respuesta en un archivo
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de