שתף באמצעות

נקוט בפעולות תגובה בקובץ

  • מאמר

חל על:

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

השב במהירות למתקפות שזוהו על-ידי עצירה וזיהוי של קבצים או חסימת קובץ. לאחר ביצוע פעולה בקבצים, באפשרותך לבדוק את פרטי הפעילות במרכז הפעולות.

פעולות תגובה זמינות בדף הפרופיל המפורט של קובץ. כשתגיע לדף זה, תוכל לעבור בין פריסות הדף החדשות והישן על-ידי החלפת מצב של דף קובץ חדש. שאר המאמר מתאר את פריסת הדף החדשה יותר.

פעולות תגובה פועלים לאורך החלק העליון של דף הקובץ וכוללות:

  • עצור והעבר קובץ להסגר
  • נהל מחוון
  • הורד קובץ
  • אסוף קובץ
  • שאל מומחי Defender
  • פעולות ידניות
  • לך לצוד
  • ניתוח עמוק

הערה

אם אתה משתמש ב- Defender for Endpoint Plan 1, באפשרותך לבצע פעולות תגובה מסוימות באופן ידני. לקבלת מידע נוסף, ראה פעולות תגובה ידניות.

באפשרותך גם לשלוח קבצים לניתוח מעמיק, כדי להפעיל את הקובץ בארגז חול מאובטח בענן. לאחר השלמת הניתוח, תקבל דוח מפורט המספק מידע אודות אופן הפעולה של הקובץ. באפשרותך לשלוח קבצים לניתוח עמוק ולקרוא דוחות קיימים על-ידי בחירה בפעולה ניתוח עמוק .

פעולות מסוימות דורשות הרשאות מסוימות. הטבלה הבאה מתארת את הפעולה שהרשאות מסוימות יכולות לבצע בקבצים ניידים של הפעלה (PE) וקבצים שאינם PE:

הרשאה קבצי PE קבצים שאינם PE
הצגת נתונים X X
חקירת התראות X
תגובה חיה בסיסית X X
תגובה חיה מתקדמת

לקבלת מידע נוסף אודות תפקידים, ראה Create ולנהל תפקידים עבור בקרת גישה מבוססת תפקידים.

עצור והעבר קבצים להסגר ברשת שלך

באפשרותך להכיל מתקפה בארגון שלך על-ידי הפסקת התהליך הזדון ותביעת הקובץ שבו הוא נצפה.

חשוב

באפשרותך לבצע פעולה זו רק אם:

  • המכשיר שבו אתה נומק את הפעולה פועל Windows 10, גירסה 1703 ואילך, Windows 11 ו- Windows Server 2012 R2+
  • הקובץ אינו שייך למפרסמים חיצוניים מהימנים או אינו חתום על-ידי Microsoft
  • Microsoft Defender האנטי-וירוס חייב לפעול לפחות במצב פאסיבי. לקבלת מידע נוסף, ראה Microsoft Defender אנטי-וירוס.

הפעולה 'עצור' ו'העבר קובץ להסגר' כוללת הפסקת תהליכים פועלים, אחסון בקבצים ומחיקה של נתונים מתמידים, כגון מפתחות רישום.

פעולה זו ייכנסה לתוקף במכשירים עם Windows 10, גירסה 1703 ואילך, ו- Windows 11 וב- Server 2012 R2+, היכן שהקובץ נצפה ב- 30 הימים האחרונים.

הערה

תוכל לשחזר את הקובץ מהסגר בכל עת.

עצירה והסגר של קבצים

  1. בחר את הקובץ שברצונך להפסיק ולהסגר. באפשרותך לבחור קובץ מכל אחת מהתצוגות הבאות או להשתמש חיפוש הבאה:

    • התראות - בחר את הקישורים המתאימים מהתיאור או מהפרטים בציר הזמן של 'כתבה בהתראה'
    • חיפוש - בחר קובץ מהתפריט הנפתח והזן את שם הקובץ

    הערה

    פעולת קובץ ההסגר והפסקה מוגבלת ל- 1,000 מכשירים לכל היותר. כדי להפסיק קובץ במספר גדול יותר של מכשירים, ראה הוספת מחוון כדי לחסום או לאפשר קובץ.

  2. עבור אל השורה העליונה ובחר הפסק והסגר קובץ.

    פעולת קובץ ההפסקה וההסגר

  3. ציין סיבה ולאחר מכן בחר אשר.

    דף קובץ ההפסקה וההסגר

    מרכז הפעולות מציג את פרטי ההגשה:

    מרכז הפעולות של קבצי ההסגר והפסקה

    • זמן הגשה - מציג את מועד שליחת הפעולה.
    • Success - מציג את מספר המכשירים שבהם הקובץ הופסק והסגר.
    • נכשל - מציג את מספר המכשירים שבהם הפעולה נכשלה ופרטים אודות הכשל.
    • ממתין - מציג את מספר המכשירים שבהם עדיין לא ניתן לעצור את הקובץ ולהסגר ממנו. פעולה זו עשויה להימשך זמן מה במקרים שבהם המכשיר נמצא במצב לא מקוון או אינו מחובר לרשת.

  4. בחר אחד מחווני המצב כדי להציג מידע נוסף אודות הפעולה. לדוגמה, בחר נכשל כדי לראות היכן הפעולה נכשלה.

הודעה על משתמש במכשיר

כאשר הקובץ מוסר ממכשיר, מוצגת ההודעה הבאה:

ההודעה משתמש במכשיר

בציר הזמן של המכשיר, נוסף אירוע חדש עבור כל מכשיר שבו קובץ הופסק והוסגר.

אזהרה מוצגת לפני שהפעולה מיושמת עבור קבצים שנמצאים בשימוש נרחב ברחבי הארגון. כדי לאמת את הפעולה המיועדת.

שחזר קובץ מהסגר

באפשרותך לחזור ולהסיר קובץ מהסגר אם קבעת שהקובץ נקי לאחר חקירה. הפעל את הפקודה הבאה בכל מכשיר שבו הקובץ הועבר להסגר.

  1. פתח שורת פקודה עם הרשאות מלאות במכשיר:

    1. עבור אל התחל והקלדcmd.

    2. לחץ באמצעות לחצן העכבר הימני על שורת הפקודה ובחר הפעל כמנהל מערכת.

  2. הזן את הפקודה הבאה והקש Enter:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All

    הערה

    בתרחישים מסוימים, ThreatName עשוי להופיע כ: EUS:Win32/CustomEnterpriseBlock!cl.

    Defender for Endpoint ישחזר את כל הקבצים החסומים המותאמים אישית שהועברו להסגר במכשיר זה ב- 30 הימים האחרונים.

חשוב

ייתכן שלא ניתן יהיה לשחזר קובץ שהוסגר כהסגר כהאיום הפוטנציאלי ברשת. אם משתמש מנסה לשחזר את הקובץ לאחר ההסגר, ייתכן שקובץ זה אינו נגיש. ייתכן שהבעיה נובעת מבעיית כך שאין למערכת עוד אישורי רשת כדי לגשת לקובץ. בדרך כלל, זוהי תוצאה של כניסה זמנית למערכת או לתיקיה משותפת ופג תוקפם של אסימוני הגישה.

הורד או אסוף קובץ

בחירה באפשרות הורד קובץ מפעולות התגובה מאפשרת לך להוריד קובץ מקומי המוגן באמצעות .zip המכיל את הקובץ שלך. יופיע תפריט נשלף שבו תוכל להקליט סיבה להורדת הקובץ ולהגדיר סיסמה.

כברירת מחדל, אתה אמור להיות מסוגל להוריד קבצים שהועברו להסגר.

לחצן הורד קובץ יכול לכלול את המדינות הבאות:

  • פעיל - תוכל לאסוף את הקובץ.

  • לא זמין - אם הלחצן מופיע באפור או אינו זמין במהלך ניסיון אוסף פעיל, ייתכן שאין לך הרשאות RBAC מתאימות לאיסוף קבצים.

    ההרשאות הבאות נדרשות:

    עבור Microsoft Defender XDR גישה מאוחדת מבוססת תפקידים (RBAC):

    • הוספת הרשאת אוסף קבצים Microsoft Defender XDR מאוחד (RBAC)

    עבור Microsoft Defender עבור נקודת קצה גישה מבוססת תפקידים (RBAC):

    עבור קובץ הפעלה נייד (.exe, .sys, .dll ופריטים אחרים)

    • מנהל מערכת כללי או תגובה מתקדמת בזמן חי או התראות

    קובץ הפעלה שאינו נייד (.txt, .docx ניידים ואחרים)

פעולת קובץ ההורדה

הורדת קבצים בהסגר

קבצים שהועברו להסגר על-ידי Microsoft Defender האנטי-וירוס או שצוות האבטחה שלך יישמרו באופן תואם בהתאם לתצורות ההגשה לדוגמה שלך. צוות האבטחה שלך יכול להוריד את הקבצים ישירות מתוך דף הפרטים של הקובץ באמצעות לחצן 'הורד קובץ'. תכונה זו מופעלת כברירת מחדל.

המיקום תלוי בהגדרות הגיאוגרפיות של הארגון שלך (בין האיחוד האירופי, בריטניה או ארה"ב). קובץ בהסגר ייאסף רק פעם אחת בכל ארגון. קבל מידע נוסף על הגנת הנתונים של Microsoft מפורטל יחסי האמון של השירות בכתובת https://aka.ms/STP.

הפעלת הגדרה זו יכולה לעזור לצוותי אבטחה לבחון קבצים שעלולים להיות פגומים ולחקור אירועים במהירות ובדרך פחות מסכנה. עם זאת, אם עליך לבטל הגדרה זו, > עבור אל הגדרותנקודות>> קצה תכונות מתקדמות הורדת קבצים בהסגרכדי להתאים את ההגדרה. קבל מידע נוסף על תכונות מתקדמות

גיבוי קבצים בהסגר

ייתכן שהמשתמשים יתבקשו לספק הסכמה מפורשת לפני גיבוי הקובץ בהסגר, בהתאם לתצורות ההגשה לדוגמה שלך.

תכונה זו לא תפעל אם שליחה לדוגמה מבוטלת. אם שליחת דוגמאות אוטומטית מוגדרת לבקש הרשאה מהמשתמש, ייאספו רק דוגמאות שהמשתמש מסכים לשלוח.

חשוב

הורד דרישות קבצים בהסגר:

  • הארגון שלך משתמש Microsoft Defender האנטי-וירוס במצב פעיל
  • גירסת מנוע האנטי-וירוס היא 1.1.17300.4 ואילך. ראה גירסאות חודשיות של פלטפורמה ומנוע
  • הגנה מבוססת ענן זמינה. ראה הפעלת הגנה מבוססת ענן
  • הגשה לדוגמה מופעלת
  • למכשירים יש Windows 10 גירסה 1703 ואילך, או Windows Server 2016 או Windows Server 2019, Windows Server 2022 או Windows 11

איסוף קבצים

אם קובץ אינו מאוחסן עדיין על-ידי Microsoft Defender עבור נקודת קצה, לא תוכל להוריד אותו. במקום זאת, תראה לחצן אסוף קובץ באותו מיקום.

לחצן אסוף קובץ יכול לכלול את המדינות הבאות:

  • פעיל - תוכל לאסוף את הקובץ.

  • לא זמין - אם הלחצן מופיע באפור או אינו זמין במהלך ניסיון אוסף פעיל, ייתכן שאין לך הרשאות RBAC מתאימות לאיסוף קבצים.

    ההרשאות הבאות נדרשות:

    עבור קובץ הפעלה נייד (.exe, .sys, .dll ופריטים אחרים)

    • מנהל מערכת כללי או תגובה מתקדמת בזמן חי או התראות

    קובץ הפעלה שאינו נייד (.txt, .docx ניידים ואחרים)

    • תגובה חיה של מנהל מערכת כללי או מתקדם

אם לא נראה קובץ בארגון ב- 30 הימים האחרונים, האפשרות אסוף קובץ לא תהיה זמינה.

חשוב

ייתכן שלא ניתן יהיה לשחזר קובץ שהוסגר כהסגר כהאיום הפוטנציאלי ברשת. אם משתמש מנסה לשחזר את הקובץ לאחר ההסגר, ייתכן שקובץ זה אינו נגיש. ייתכן שהבעיה נובעת מבעיית כך שאין למערכת עוד אישורי רשת כדי לגשת לקובץ. בדרך כלל, זוהי תוצאה של כניסה זמנית למערכת או לתיקיה משותפת ופג תוקפם של אסימוני הגישה.

הוסף מחוון כדי לחסום או לאפשר קובץ

מנע הפצה נוספת של התקפה בארגון שלך על-ידי חסימת קבצים שעלולים להיות זדוניים או תוכנות זדוניות חשודות. אם אתה יודע קובץ הפעלה נייד (PE) שעשוי להיות זדוני, באפשרותך לחסום אותו. פעולה זו תמנע את הקריאה, ההכתבה או ההפעלה שלו במכשירים בארגון שלך.

חשוב

  • תכונה זו זמינה אם הארגון שלך משתמש ב- Microsoft Defender והגנה מבוססת ענן מופעלת. לקבלת מידע נוסף, ראה ניהול הגנה מבוססת ענן.

  • גירסת הלקוח נגד תוכנות זדוניות חייבת להיות 4.18.1901.x ואילך.

  • תכונה זו נועדה למנוע הורדה של תוכנות זדוניות חשודות (או קבצים שעלולים להיות זדוניים) מהאינטרנט. הוא תומך כעת בקובצי הפעלה ניידים (PE), כולל קבצי.exe וקבצים.dll ניידים. הכיסוי יוארך לאורך זמן.

  • פעולת תגובה זו זמינה עבור מכשירים בגירסה Windows 10, בגירסה 1703 ואילך ובגירסה Windows 11.

  • אין אפשרות לבצע את פונקציית התרה או חסימה בקבצים אם סיווג הקובץ קיים במטמון המכשיר לפני פעולת התרה או חסימה.

הערה

קובץ PE צריך להיות בציר הזמן של המכשיר כדי שתוכל לבצע פעולה זו.

עשויות להיות כמה דקות של השהיה בין הזמן שבו הפעולה מתבצעת לבין חסימת הקובץ בפועל.

הפוך את תכונת קובץ החסימה לזמינה

כדי להתחיל לחסום קבצים, תחילה עליך להפעיל את התכונה חסום או אפשר בהגדרות .

אפשר או חסום קובץ

בעת הוספת קוד Hash של מחוון עבור קובץ, באפשרותך לבחור להעלות התראה ולחסימת הקובץ בכל פעם שמכשיר בארגון שלך מנסה להפעיל אותו.

קבצים שנחסמו אוטומטית על-ידי מחוון לא יופיעו במרכז הפעולות של הקובץ, אך ההתראות עדיין יהיו גלויות בתור התראות.

ראה ניהול מחוונים לקבלת פרטים נוספים על חסימה והרמת התראות בקבצים.

כדי להפסיק חסימת קובץ, הסר את המחוון. באפשרותך לעשות זאת באמצעות הפעולה ערוך מחוון בדף הפרופיל של הקובץ. פעולה זו תהיה גלויה באותו מיקום שבו מופיעה הפעולה הוספת מחוון , לפני הוספת המחוון.

באפשרותך גם לערוך מחוונים מהדף הגדרות , תחת מחווני>כללים. המחוונים מפורטים באזור זה על-ידי קוד ה- Hash של הקובץ שלהם.

בדוק את פרטי הפעילות במרכז הפעולות

מרכז הפעולות מספק מידע אודות פעולות שבוצעו במכשיר או בקובץ. באפשרותך להציג את הפרטים הבאים:

  • אוסף חבילות חקירה
  • סריקת אנטי-וירוס
  • הגבלת אפליקציה
  • בידוד מכשיר

כל הפרטים הקשורים האחרים מוצגים גם, כגון תאריך/שעה לשליחה, שליחת משתמש, ואם הפעולה הצליחה או נכשלה.

מרכז הפעולות עם מידע

ניתוח עמוק

חקירות אבטחת סייבר מופעלות בדרך כלל על-ידי התראה. התראות קשורות לקבצים שנצפתו אחד או יותר, לעתים קרובות חדשים או לא ידועים. בחירת קובץ מעבירה אותך לתצוגת הקובץ שבה תוכל לראות את המטה-נתונים של הקובץ. כדי להעשיר את הנתונים הקשורים לקובץ, באפשרותך לשלוח את הקובץ לניתוח עמוק.

תכונת הניתוח Deep מבצעת קובץ בסביבה מאובטחת וממוקדה בענן. תוצאות ניתוח עמוק מציגות את פעילויות הקובץ, אופני הפעולה שנצפה ופריטים משויכים, כגון השמטת קבצים, שינויי רישום ותקשורת עם הודעות מיידיות. ניתוח עמוק תומך כעת בניתוח נרחב של קבצי הפעלה ניידים (PE) ( .exeקבצים .dll קבצים).

ניתוח עמוק של קובץ נמשך כמה דקות. לאחר השלמת ניתוח הקבצים, הכרטיסיה ניתוח עמוק תתעדכן כדי להציג סיכום ואת התאריך והשעה של התוצאות העדכניות ביותר הזמינות.

סיכום הניתוח העמוק כולל רשימה של אופני פעולה שנצפתו , שחלקם יכולים להצביע על פעילות זדונית ועל התבוננות, כולל כתובות IP וקבצים שנוצרו בדיסק. אם לא נמצא דבר, מקטעים אלה יציגו הודעה קצרה.

תוצאות הניתוח העמוק תואמות לבינה של איומים, וכל התאמה תפיק התראות מתאימות.

השתמש בתכונת הניתוח העמוק כדי לחקור את הפרטים של קובץ כלשהו, בדרך כלל במהלך חקירה של התראה או מכל סיבה אחרת שבה אתה חושד בהתפקוד הזדון. תכונה זו זמינה בחלק העליון של דף הקובץ. בחר את שלוש הנקודות כדי לגשת לפעולת הניתוח Deep .

צילום מסך של פעולת הניתוח Deep

למד אודות ניתוח עמוק בסרטון הווידאו הבא:

האפשרות 'שלח לניתוח עמוק' זמינה כאשר הקובץ זמין באוסף לדוגמה של הקצה העורפי של Defender for Endpoint, או אם הוא נצפה בהתקן Windows 10 שתומך בשליחה לניתוח עמוק.

הערה

רק קבצים מ- Windows 10, Windows 11 ו- Windows Server 2012 R2+ נאספים באופן אוטומטי.

באפשרותך גם לשלוח דוגמה דרך פורטל Microsoft Defender אם הקובץ לא נצפה במכשיר Windows 10 (או ב- Windows 11 או ב- Windows Server 2012 R2+), והמתן שלחצן שלח לניתוח עמוק יהפוך לזמין.

הערה

עקב זרימות עיבוד עורפיות בפורטל Microsoft Defender, ייתכן שיש השהיה של עד 10 דקות בין שליחת קבצים וזמינות של תכונת הניתוח העמוק ב- Defender for Endpoint.

שליחת קבצים לניתוח מעמיק

  1. בחר את הקובץ שברצונך לשלוח לצורך ניתוח עמוק. באפשרותך לבחור או לחפש קובץ מכל אחת מהתצוגות הבאות:

    • התראות - בחר את קישורי הקובץ מהתיאור או מהפרטיםבציר הזמן של 'כתבה בהתראה'
    • רשימת מכשירים - בחר את קישורי הקובץ מהסעיף תיאוראו פרטים בהתקן בארגון
    • חיפוש - בחר קובץ מהתפריט הנפתח והזן את שם הקובץ

  2. בכרטיסיה ניתוח עמוק של תצוגת הקובץ, בחר שלח.

    לחצן 'שלח קבצי PE'

    הערה

    רק קבצי PE נתמכים, כולל.exe קבצים .dll אחרים.

    מד התקדמות מוצג ומספק מידע על השלבים השונים של הניתוח. לאחר מכן תוכל להציג את הדוח לאחר סיום הניתוח.

הערה

בהתאם לזמינות המכשיר, זמן האיסוף לדוגמה עשוי להשתנות. קיים זמן קצוב של 3 שעות עבור אוסף דוגמאות. האוסף ייכשל והפעולה תבוטל אם לא קיים דיווח מקוון Windows 10 (או Windows 11 או Windows Server 2012 R2+) בשלב זה. באפשרותך לשלוח מחדש קבצים לניתוח עמוק כדי לקבל נתונים חדשים על הקובץ.

הצגת דוחות ניתוח עמוק

הצג את דוח הניתוח העמוק שסופק כדי לראות תובנות מעמיקות יותר על הקובץ ששלחת. תכונה זו זמינה בהקשר תצוגת הקובץ.

באפשרותך להציג את הדוח המקיף המספק פרטים על הסעיפים הבאים:

  • התנהגויות
  • התבוננות

הפרטים המסופקים יכולים לעזור לך לחקור אם יש אינדיקציה למתקפה פוטנציאלית.

  1. בחר את הקובץ ששלחת לניתוח עמוק.

  2. בחר בכרטיסיה ניתוח עמוק. אם קיימים דוחות קודמים, סיכום הדוח יופיע בכרטיסיה זו.

    דוח הניתוח העמוק מציג מידע מפורט על-פני מספר קטגוריות

פתרון בעיות בניתוח עמוק

אם אתה נתקל בבעיה בעת ניסיון לשלוח קובץ, נסה כל אחד מהפעולות הבאות לפתרון בעיות.

  1. ודא שהקובץ המדובר הוא קובץ PE. קבצי PE כוללים בדרך.exe או .dll (תוכניות הפעלה או יישומים).

  2. ודא שלשירות יש גישה לקובץ, שהוא עדיין קיים ולא נפגם או השתנה.

  3. המתן זמן מה ונסה שוב לשלוח את הקובץ. ייתכן שהתור מלא, או שקיים שגיאת חיבור או תקשורת זמנית.

  4. אם מדיניות האוסף לדוגמה לא נקבעה, אופן הפעולה המהווה ברירת מחדל הוא לאפשר איסוף לדוגמה. אם תצורתו נקבעה, ודא שהגדרות המדיניות מאפשרות איסוף לדוגמה לפני שליחת הקובץ שוב. כאשר אוסף לדוגמה מוגדר, בדוק את ערך הרישום הבא:

    Path: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
Name: AllowSampleCollection
Type: DWORD
Hexadecimal value :
  Value = 0 - block sample collection
  Value = 1 - allow sample collection

  5. שנה את היחידה הארגונית באמצעות מדיניות קבוצתית. לקבלת מידע נוסף, ראה קביעת תצורה עם מדיניות קבוצתית.

  6. אם שלבים אלה אינם פותרים את הבעיה, פנה למחלקת התמיכה.

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.