Share via

חקירת קובץ

  • מאמר

חל על:

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

בדוק את הפרטים של קובץ המשויך להתראה, אופן פעולה או אירוע ספציפיים כדי לעזור לקבוע אם הקובץ מציג פעילויות זדוניות, לזהות את מניע התקיפה ולהבין את היקף ההפרה הפוטנציאלי.

קיימות דרכים רבות לגשת לדף הפרופיל המפורט של קובץ ספציפי. לדוגמה, באפשרותך להשתמש בתכונת החיפוש, ללחוץ על קישור מתוך עץ תהליך התראה, גרף אירועים, ציר זמן של חפץ או לבחור אירוע המופיע בציר הזמן של המכשיר.

לאחר שתעבור לדף הפרופיל המפורט, תוכל לעבור בין פריסות הדף החדשות והישן על-ידי החלפת דף קובץ חדש. שאר המאמר מתאר את פריסת הדף החדשה יותר.

באפשרותך לקבל מידע מהסעיפים הבאים בתצוגת הקובץ:

  • פרטי קובץ ומטה-נתונים של PE (אם הם קיימים)
  • אירועים והתראות
  • התבוננות בארגון
  • שמות קבצים
  • תוכן קובץ ויכולות (אם קובץ נותחו על-ידי Microsoft)

באפשרותך גם לבצע פעולה בקובץ מתוך דף זה.

פעולות קובץ

פעולות הקובץ נמצאות מעל כרטיסי פרטי הקובץ בחלק העליון של דף הפרופיל. הפעולות שבאפשרותך לבצע כאן כוללות:

  • עצור והסגר
  • נהל מחוון
  • הורד קובץ
  • שאל מומחי Defender
  • פעולות ידניות
  • לך לצוד
  • ניתוח עמוק

ראה פעולת תגובה בקובץ לקבלת מידע נוסף אודות פעולות אלה.

מבט כולל על דף קובץ

דף הקובץ מציע מבט כולל על הפרטים והתכונות של הקובץ, האירועים וההתראות שבהם נראה הקובץ, שמות קבצים בשימוש, מספר המכשירים שבהם נראה הקובץ ב- 30 הימים האחרונים, כולל התאריכים שבהם הקובץ היה ראשון ונראתה לאחרונה בארגון, יחס זיהוי סכום הווירוסים, Microsoft Defender אנטי-וירוס, מספר אפליקציות הענן המחוברות לקובץ ושכיחות הקובץ במכשירים מחוץ לארגון.

הערה

משתמשים שונים עשויים לראות ערכים שונים במקטע המכשירים בארגון של כרטיס שכיחות הקובץ. זאת משום שהכרטיס מציג מידע בהתבסס על טווח בקרת הגישה מבוסס התפקיד (RBAC) שיש למשתמש. משמעות הדבר היא שאם הוענקה למשתמש ניראות בערכת מכשירים מסוימת, הוא יוכל לראות רק את השכיחות הארגונית של הקובץ במכשירים אלה.

צילום מסך של מבט כולל על הדף 'קובץ'

אירועים והתראות

הכרטיסיה אירועים והתראות מספקת רשימה של אירועים המשויכים לקובץ ואת ההתראות שהקובץ מקושר אל. רשימה זו מכסה חלק גדול מהמידע של תור האירועים. באפשרותך לבחור איזה סוג מידע יוצג על-ידי בחירה באפשרות התאם אישית עמודות. באפשרותך גם לסנן את הרשימה על-ידי בחירה באפשרות סנן.

צילום מסך המציג אירועים והתראות.

התבוננות בארגון

הכרטיסיה מקוים בארגון מציגה את המכשירים ואפליקציות הענן שנצפתו עם הקובץ. ניתן להציג היסטוריית קבצים הקשורה למכשירים עד ששת החודשים האחרונים, בעוד שהיסטוריית האפליקציות בענן קשורה ל- 30 הימים האחרונים

התקנים

מקטע זה מציג את כל המכשירים שבהם הקובץ מזוהה. המקטע כולל דוח פופולרי המזהה את מספר המכשירים שבהם נצפה הקובץ ב- 30 הימים האחרונים. מתחת לשורת המגמה, תוכל למצוא מידע מפורט על הקובץ בכל מכשיר שבו הוא נראה, כולל מצב ביצוע קובץ, אירועים ראשון ואירועים שנראתה לאחרונה בכל מכשיר, התחלת תהליך ושעה ושמות קבצים המשויכים למכשיר.

באפשרותך ללחוץ על מכשיר ברשימה כדי לסייר בהיסטוריית הקבצים המלאה של שישה חודשים בכל מכשיר ולבצע ציר זמן לאירוע הראשון שנראה בציר הזמן של המכשיר.

צילום מסך של דף המכשירים בתוך קובץ

אפליקציות ענן

הערה

עומס העבודה של Defender for Cloud Apps חייב להיות זמין כדי לראות מידע על קבצים הקשורים לאפליקציות ענן.

סעיף זה מציג את כל יישומי הענן שבהם הקובץ נצפה. הוא כולל גם מידע כגון שמות הקובץ, המשתמשים המשויכים לאפליקציה, מספר ההתאמות למדיניות ספציפית של יישומי ענן, שמות היישומים המשויכים, מועד השינוי האחרון של הקובץ ונתב הקובץ.

צילום מסך של דף אפליקציות הענן בתוך קובץ

שמות קבצים

הכרטיסיה שמות קבצים מפרטת את כל השמות שבהם נצפה הקובץ לשימוש, בתוך הארגון שלך.

הכרטיסיה 'שמות קבצים'

תוכן קובץ ויכולות

הערה

תצוגות התוכן והיכולות של הקובץ תלויות בשאלה אם Microsoft נתחה את הקובץ.

הכרטיסיה 'תוכן קובץ' מפרטת מידע אודות קבצי הפעלה ניידים (PE), כולל כתיבה בתהליך, יצירת תהליך, פעילויות רשת, כתיבת קבצים, מחיקת קבצים, הקריאה של הרישום, כתיבה ברישום, מחרוזות, פעולות ייבוא וייצוא. כרטיסיה זו מפרטת גם את כל יכולות הקובץ.

צילום מסך של תוכן קובץ

תצוגת יכולות הקובץ מפרטת את פעילויות הקובץ כמיפוי לטכניקות MITRE ATT&CK™.

צילום מסך של יכולות קובץ

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.