Megosztás a következőn keresztül:


Fájl vizsgálata

Érintett szolgáltatás:

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Vizsgálja meg egy adott riasztáshoz, viselkedéshez vagy eseményhez társított fájl részleteit, és állapítsa meg, hogy a fájl kártékony tevékenységeket mutat-e, azonosítsa a támadási motivációt, és ismerje meg a biztonsági incidens lehetséges hatókörét.

Egy adott fájl részletes profillapját többféleképpen is elérheti. Használhatja például a keresési funkciót, rákattinthat egy hivatkozásra a Riasztási folyamat fájából, az Incidens grafikonról, az Összetevő ütemtervéből, vagy kiválaszthat egy eseményt az Eszköz ütemtervében.

Miután a részletes profillapra váltott, válthat az új és a régi lapelrendezés között az új Fájl lap bekapcsolásával. A cikk további része az újabb lapelrendezést ismerteti.

A fájlnézetben a következő szakaszokból kaphat információt:

  • Fájladatok és PE-metaadatok (ha léteznek)
  • Incidensek és riasztások
  • Szervezeten belül megfigyelve
  • Fájlnevek
  • Fájl tartalma és képességei (ha a Microsoft elemezte a fájlt)

Ezen a lapon is végezhet műveletet egy fájlon.

Fájlműveletek

A fájlműveletek a profillap tetején található fájlinformációs kártyák felett találhatók. Az itt végrehajtható műveletek a következők:

  • Leállítás és karantén
  • Mutató kezelése
  • Fájl letöltése
  • Kérdés feltevése Defender-szakértőknek
  • Manuális műveletek
  • Go hunt
  • Mélyelemzés

Ezekről a műveletekről további információt a Válaszművelet végrehajtása fájlon című témakörben talál.

Fájllap áttekintése

A fájloldal áttekintést nyújt a fájl részleteiről és attribútumairól, az incidensekről és a riasztásokról, ahol a fájl látható, a használt fájlnevekről, azoknak az eszközöknek a számáról, ahol a fájl az elmúlt 30 napban volt látható, beleértve azokat a dátumokat, amikor a fájl először és utoljára jelent meg a szervezetben, vírus teljes észlelési aránya, Microsoft Defender víruskereső észlelése, a fájlhoz csatlakoztatott felhőalkalmazások száma és a fájl elterjedtsége a szervezeten kívüli eszközökön.

Megjegyzés:

A különböző felhasználók eltérő értékeket láthatnak a fájlprevalenciát tartalmazó kártya Szervezeti eszközök szakaszában. Ennek az az oka, hogy a kártya a felhasználó szerepköralapú hozzáférés-vezérlési (RBAC) hatóköre alapján jelenít meg információkat. Ez azt jelenti, hogy ha egy felhasználó egy adott eszközcsoporton kapott láthatóságot, akkor csak a fájl szervezeti elterjedtségét fogja látni azokon az eszközökön.

Képernyőkép a Fájl lap áttekintéséről

Incidensek és riasztások

Az Incidensek és riasztások lap megjeleníti a fájlhoz társított incidensek listáját, valamint azokat a riasztásokat, amelyekhez a fájl kapcsolódik. Ez a lista ugyanazokat az információkat tartalmazza, mint az incidensek várólistája. Az Oszlopok testreszabása lehetőség kiválasztásával kiválaszthatja, hogy milyen típusú információk jelenjenek meg. A listát a Szűrő lehetőség kiválasztásával is szűrheti.

Képernyőkép az incidensekről és riasztásokról.

Szervezeten belül megfigyelve

A Szervezeten belül megfigyelt lapon láthatja a fájlban megfigyelt eszközöket és felhőalkalmazásokat. Az eszközökhöz kapcsolódó fájlelőzmények az elmúlt hat hónapig jeleníthetők meg, míg a felhőalkalmazásokkal kapcsolatos előzményei az elmúlt 30 napra visszamenőleg

Eszközök

Ez a szakasz azokat az eszközöket mutatja be, ahol a fájl észlelve van. A szakasz egy népszerű jelentést tartalmaz, amely az elmúlt 30 napban megfigyelt fájlok számát azonosítja. A trendvonal alatt részletes információkat talál a fájlról minden eszközön, ahol az látható, beleértve a fájlvégrehajtás állapotát, az egyes eszközökön az első és utolsó látott eseményeket, a kezdeményező folyamatot és időt, valamint az eszközhöz társított fájlneveket.

A listában egy eszközre kattintva megtekintheti az egyes eszközök teljes hat hónapos fájlelőzményeit, és az eszköz idővonalán az elsőként látott eseményre válthat.

Képernyőkép az eszközök lapjáról egy fájlban

Felhőalkalmazások

Megjegyzés:

A Felhőalkalmazásokhoz készült Defendert engedélyezni kell a felhőalkalmazásokkal kapcsolatos fájlinformációk megtekintéséhez.

Ez a szakasz az összes olyan felhőalkalmazást mutatja be, ahol a fájl látható. Olyan információkat is tartalmaz, mint a fájl neve, az alkalmazáshoz társított felhasználók, egy adott felhőalkalmazás-szabályzattal való egyezések száma, a társított alkalmazások neve, a fájl utolsó módosításának dátuma és a fájl elérési útja.

Képernyőkép a felhőalkalmazások lapjáról egy fájlban

Fájlnevek

A Fájlnevek lapon a szervezeten belüli összes olyan név szerepel, amelyet a fájlban megfigyelt.

A Fájlnevek lap

Fájl tartalma és képességei

Megjegyzés:

A fájltartalom és a képességek nézetei attól függenek, hogy a Microsoft elemezte-e a fájlt.

A Fájl tartalma lap a hordozható végrehajtható fájlokkal (PE) kapcsolatos információkat sorolja fel, beleértve a folyamatírásokat, a folyamatlétrehozásokat, a hálózati tevékenységeket, a fájlírásokat, a fájltörléseket, a beállításjegyzék olvasását, a beállításjegyzék írását, a sztringeket, az importálásokat és az exportálásokat. Ez a lap a fájl összes funkcióját is megjeleníti.

Képernyőkép egy fájl tartalmáról

A fájlképességek nézet a mitre ATT&CK-technikákhoz™ leképezett fájl tevékenységeit sorolja fel.

Képernyőkép egy fájl képességeiről

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.