Tiedoston tutkiminen
Koskee seuraavia:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.
Tutki tiettyyn hälytykseen, käyttäytymiseen tai tapahtumaan liittyvän tiedoston tietoja, jotta voit selvittää, onko tiedostossa haitallisia toimintoja, tunnistaa hyökkäyksen motivaation ja ymmärtää tietomurron mahdollisen laajuuden.
Tietyn tiedoston yksityiskohtaisen profiilisivun voi käyttää monella tavalla. Voit esimerkiksi käyttää hakutoimintoa, napsauttaa linkkiä Ilmoitusprosessi-puusta, Tapahtumakaaviosta, Artefaktin aikajanasta tai valita tapahtuman Laitteen aikajanalla.
Kun olet yksityiskohtaisen profiilin sivulla, voit vaihtaa uuden ja vanhan sivun asettelun välillä vaihtamalla uuden tiedostosivun. Tämän artikkelin loppuosassa kuvataan uudempaa sivun asettelua.
Voit hakea tietoja tiedostonäkymän seuraavista osista:
- Tiedoston tiedot ja pe-metatiedot (jos ne ovat olemassa)
- Tapaukset ja hälytykset
- Havaittu organisaatiossa
- Tiedostojen nimet
- Tiedoston sisältö ja ominaisuudet (jos Microsoft on analysoinut tiedoston)
Voit myös suorittaa toiminnon tiedostolle tältä sivulta.
Tiedostotoiminnot
Tiedostotoiminnot ovat profiilisivun yläosassa olevien tiedostotietokorttien yläpuolella. Tässä voit suorittaa seuraavia toimintoja:
- Pysäytys ja karanteeni
- Ilmaisimen hallinta
- Lataa tiedosto
- Kysy Defenderin asiantuntijoilta
- Manuaaliset toiminnot
- Mene metsästämään
- Syväanalyysi
Katso lisätietoja näistä toiminnoista kohdasta Tiedoston vastaustoiminto .
Tiedostosivun yleiskatsaus
Tiedostosivulla on yleiskatsaus tiedoston tietoihin ja määritteisiin, tapauksiin ja hälytyksiin, joissa tiedosto on nähty, käytettyihin tiedostonimiin, niiden laitteiden määrään, joissa tiedosto on nähty viimeisen 30 päivän aikana, mukaan lukien päivämäärät, jolloin tiedosto nähtiin ensimmäisen kerran ja viimeksi organisaatiossa, virusten kokonaistunnistussuhde, Microsoft Defender virustentorjuntaohjelman tunnistamista, tiedostoon yhdistettyjen pilvisovellusten määrää ja tiedoston levinneisyyttä organisaation ulkopuolisissa laitteissa.
Huomautus
Eri käyttäjät saattavat nähdä erilaisia arvoja tiedoston esiintyvyyskortin organisaatio-osion laitteissa . Tämä johtuu siitä, että kortti näyttää tietoja käyttäjän roolipohjaisen käytönvalvonnan (RBAC) laajuuden perusteella. Tämä tarkoittaa sitä, että jos käyttäjälle on myönnetty näkyvyys tietyssä laitejoukossa, hän näkee vain tiedoston organisaation esiintyvyyden kyseisissä laitteissa.
Tapaukset ja hälytykset
Tapaukset ja hälytykset -välilehdessä on luettelo tiedostoon liittyvistä tapauksista ja hälytyksistä, joihin tiedosto on linkitetty. Tämä luettelo kattaa suuren osan samoista tiedoista kuin tapahtumajono. Voit valita, millaisia tietoja näytetään, valitsemalla Mukauta sarakkeita. Voit myös suodattaa luetteloa valitsemalla Suodatin.
Havaittu organisaatiossa
Havaittu organisaatiossa -välilehdessä näkyvät tiedoston kanssa havaitut laitteet ja pilvisovellukset. Laitteisiin liittyvä tiedostohistoria voidaan näyttää viimeisten kuuden kuukauden aikana, kun taas pilvisovelluksiin liittyvä historia on viimeisen 30 päivän aikana
Laitteet
Tässä osiossa näkyvät kaikki laitteet, joissa tiedosto tunnistetaan. Osio sisältää suositun raportin, jossa määritetään niiden laitteiden määrä, joissa tiedostoa on havaittu viimeisten 30 päivän aikana. Trendiviivan alta löydät yksityiskohtaisia tietoja tiedostosta jokaisesta laitteesta, jossa se näkyy, mukaan lukien tiedoston suorittamisen tila, ensimmäinen ja viimeksi nähty tapahtuma jokaisessa laitteessa, prosessin ja ajan aloittaminen sekä laitteeseen liittyvät tiedostonimet.
Napsauttamalla luettelossa olevaa laitetta voit tarkastella kunkin laitteen koko kuuden kuukauden tiedostohistoriaa ja pivotoida laitteen aikajanalla ensimmäiseen nähtyihin tapahtumaan.
Pilvisovellukset
Huomautus
Defender for Cloud Apps -kuormitus on otettava käyttöön, jotta pilvisovelluksiin liittyvät tiedostotiedot näkyvät.
Tässä osiossa näkyvät kaikki pilvisovellukset, joissa tiedostoa tarkkaillaan. Se sisältää myös tietoja, kuten tiedoston nimet, sovellukseen liittyvät käyttäjät, tietyn pilvisovelluskäytännön vastaavuuksien määrän, liitettyjen sovellusten nimet, tiedoston viimeisimmän muokkauksen ajankohdan ja tiedoston polun.
Tiedostojen nimet
Tiedostonimet-välilehdessä luetellaan kaikki nimet, joita tiedoston on havaittu käyttävän organisaatiossasi.
Tiedoston sisältö ja ominaisuudet
Huomautus
Tiedoston sisältö- ja ominaisuusnäkymät riippuvat siitä, analysoiko Microsoft tiedoston.
Tiedoston sisältö -välilehdessä on tietoja kannettavista suoritettavista tiedostoista (PE), kuten prosessin kirjoittamisesta, prosessin luomisesta, verkkotoiminnoista, tiedostojen kirjoittamisesta, tiedostojen poistamisesta, rekisterilukemista, rekisterikirjoituksista, merkkijonoista, tuonnista ja viennistä. Tässä välilehdessä luetellaan myös kaikki tiedoston ominaisuudet.
Tiedoston ominaisuuksien näkymässä tiedoston toiminnot on yhdistetty MITRE ATT&CK™ -tekniikoihin.
Aiheeseen liittyvät artikkelit
- Microsoft Defender for Endpoint jonon tarkasteleminen ja järjestäminen
- Microsoft Defender for Endpoint ilmoitusten hallinta
- Microsoft Defender for Endpoint ilmoitusten tutkiminen
- Microsoft Defender for Endpoint Laitteet-luettelon laitteiden tutkiminen
- Microsoft Defender for Endpoint-ilmoituksiin liittyvän IP-osoitteen tutkiminen
- Microsoft Defender for Endpoint-ilmoitukseen liittyvän toimialueen tutkiminen
- Käyttäjätilin tutkiminen Microsoft Defender for Endpoint
- Vastaustoimintoihin ryhtyminen tiedostossa
Vihje
Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.