Share via


Tiedoston tutkiminen

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tutki tiettyyn hälytykseen, käyttäytymiseen tai tapahtumaan liittyvän tiedoston tietoja, jotta voit selvittää, onko tiedostossa haitallisia toimintoja, tunnistaa hyökkäyksen motivaation ja ymmärtää tietomurron mahdollisen laajuuden.

Tietyn tiedoston yksityiskohtaisen profiilisivun voi käyttää monella tavalla. Voit esimerkiksi käyttää hakutoimintoa, napsauttaa linkkiä Ilmoitusprosessi-puusta, Tapahtumakaaviosta, Artefaktin aikajanasta tai valita tapahtuman Laitteen aikajanalla.

Kun olet yksityiskohtaisen profiilin sivulla, voit vaihtaa uuden ja vanhan sivun asettelun välillä vaihtamalla uuden tiedostosivun. Tämän artikkelin loppuosassa kuvataan uudempaa sivun asettelua.

Voit hakea tietoja tiedostonäkymän seuraavista osista:

  • Tiedoston tiedot ja pe-metatiedot (jos ne ovat olemassa)
  • Tapaukset ja hälytykset
  • Havaittu organisaatiossa
  • Tiedostojen nimet
  • Tiedoston sisältö ja ominaisuudet (jos Microsoft on analysoinut tiedoston)

Voit myös suorittaa toiminnon tiedostolle tältä sivulta.

Tiedostotoiminnot

Tiedostotoiminnot ovat profiilisivun yläosassa olevien tiedostotietokorttien yläpuolella. Tässä voit suorittaa seuraavia toimintoja:

  • Pysäytys ja karanteeni
  • Ilmaisimen hallinta
  • Lataa tiedosto
  • Kysy Defenderin asiantuntijoilta
  • Manuaaliset toiminnot
  • Mene metsästämään
  • Syväanalyysi

Katso lisätietoja näistä toiminnoista kohdasta Tiedoston vastaustoiminto .

Tiedostosivun yleiskatsaus

Tiedostosivulla on yleiskatsaus tiedoston tietoihin ja määritteisiin, tapauksiin ja hälytyksiin, joissa tiedosto on nähty, käytettyihin tiedostonimiin, niiden laitteiden määrään, joissa tiedosto on nähty viimeisen 30 päivän aikana, mukaan lukien päivämäärät, jolloin tiedosto nähtiin ensimmäisen kerran ja viimeksi organisaatiossa, virusten kokonaistunnistussuhde, Microsoft Defender virustentorjuntaohjelman tunnistamista, tiedostoon yhdistettyjen pilvisovellusten määrää ja tiedoston levinneisyyttä organisaation ulkopuolisissa laitteissa.

Huomautus

Eri käyttäjät saattavat nähdä erilaisia arvoja tiedoston esiintyvyyskortin organisaatio-osion laitteissa . Tämä johtuu siitä, että kortti näyttää tietoja käyttäjän roolipohjaisen käytönvalvonnan (RBAC) laajuuden perusteella. Tämä tarkoittaa sitä, että jos käyttäjälle on myönnetty näkyvyys tietyssä laitejoukossa, hän näkee vain tiedoston organisaation esiintyvyyden kyseisissä laitteissa.

Näyttökuva Tiedosto-sivun yleiskatsauksesta

Tapaukset ja hälytykset

Tapaukset ja hälytykset -välilehdessä on luettelo tiedostoon liittyvistä tapauksista ja hälytyksistä, joihin tiedosto on linkitetty. Tämä luettelo kattaa suuren osan samoista tiedoista kuin tapahtumajono. Voit valita, millaisia tietoja näytetään, valitsemalla Mukauta sarakkeita. Voit myös suodattaa luetteloa valitsemalla Suodatin.

Näyttökuva, joka näyttää tapaukset ja hälytykset.

Havaittu organisaatiossa

Havaittu organisaatiossa -välilehdessä näkyvät tiedoston kanssa havaitut laitteet ja pilvisovellukset. Laitteisiin liittyvä tiedostohistoria voidaan näyttää viimeisten kuuden kuukauden aikana, kun taas pilvisovelluksiin liittyvä historia on viimeisen 30 päivän aikana

Laitteet

Tässä osiossa näkyvät kaikki laitteet, joissa tiedosto tunnistetaan. Osio sisältää suositun raportin, jossa määritetään niiden laitteiden määrä, joissa tiedostoa on havaittu viimeisten 30 päivän aikana. Trendiviivan alta löydät yksityiskohtaisia tietoja tiedostosta jokaisesta laitteesta, jossa se näkyy, mukaan lukien tiedoston suorittamisen tila, ensimmäinen ja viimeksi nähty tapahtuma jokaisessa laitteessa, prosessin ja ajan aloittaminen sekä laitteeseen liittyvät tiedostonimet.

Napsauttamalla luettelossa olevaa laitetta voit tarkastella kunkin laitteen koko kuuden kuukauden tiedostohistoriaa ja pivotoida laitteen aikajanalla ensimmäiseen nähtyihin tapahtumaan.

Näyttökuva tiedoston laitesivusta

Pilvisovellukset

Huomautus

Defender for Cloud Apps -kuormitus on otettava käyttöön, jotta pilvisovelluksiin liittyvät tiedostotiedot näkyvät.

Tässä osiossa näkyvät kaikki pilvisovellukset, joissa tiedostoa tarkkaillaan. Se sisältää myös tietoja, kuten tiedoston nimet, sovellukseen liittyvät käyttäjät, tietyn pilvisovelluskäytännön vastaavuuksien määrän, liitettyjen sovellusten nimet, tiedoston viimeisimmän muokkauksen ajankohdan ja tiedoston polun.

Näyttökuva pilvisovellusten sivusta tiedostossa

Tiedostojen nimet

Tiedostonimet-välilehdessä luetellaan kaikki nimet, joita tiedoston on havaittu käyttävän organisaatiossasi.

Tiedostonimet-välilehti

Tiedoston sisältö ja ominaisuudet

Huomautus

Tiedoston sisältö- ja ominaisuusnäkymät riippuvat siitä, analysoiko Microsoft tiedoston.

Tiedoston sisältö -välilehdessä on tietoja kannettavista suoritettavista tiedostoista (PE), kuten prosessin kirjoittamisesta, prosessin luomisesta, verkkotoiminnoista, tiedostojen kirjoittamisesta, tiedostojen poistamisesta, rekisterilukemista, rekisterikirjoituksista, merkkijonoista, tuonnista ja viennistä. Tässä välilehdessä luetellaan myös kaikki tiedoston ominaisuudet.

Näyttökuva tiedoston sisällöstä

Tiedoston ominaisuuksien näkymässä tiedoston toiminnot on yhdistetty MITRE ATT&CK™ -tekniikoihin.

Näyttökuva tiedoston ominaisuuksista

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.