Fájl vizsgálata

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Vizsgálja meg egy adott riasztáshoz, viselkedéshez vagy eseményhez társított fájl részleteit, és állapítsa meg, hogy a fájl kártékony tevékenységeket mutat-e, azonosítsa a támadási motivációt, és ismerje meg a biztonsági incidens lehetséges hatókörét.

Egy adott fájl részletes profillapját többféleképpen is elérheti. Használhatja például a keresési funkciót, rákattinthat egy hivatkozásra a Riasztási folyamat fájából, az Incidens grafikonról, az Összetevő ütemtervéből, vagy kiválaszthat egy eseményt az Eszköz ütemtervében.

Miután a részletes profillapra váltott, válthat az új és a régi lapelrendezés között az új Fájl lap bekapcsolásával. A cikk további része az újabb lapelrendezést ismerteti.

A fájlnézetben a következő szakaszokból kaphat információt:

• Fájladatok és PE-metaadatok (ha léteznek)
• Incidensek és riasztások
• Szervezeten belül megfigyelve
• Fájlnevek
• Fájl tartalma és képességei (ha a Microsoft elemezte a fájlt)

Ezen a lapon is végezhet műveletet egy fájlon.

Fájlműveletek

A fájlműveletek a profillap tetején található fájlinformációs kártyák felett találhatók. Az itt végrehajtható műveletek a következők:

• Leállítás és karantén
• Mutató kezelése
• Fájl letöltése
• Kérdés feltevése Defender-szakértőknek
• Manuális műveletek
• Go hunt
• Mélyelemzés

Ezekről a műveletekről további információt a Válaszművelet végrehajtása fájlon című témakörben talál.

Fájllap áttekintése

A fájloldal áttekintést nyújt a fájl részleteiről és attribútumairól, az incidensekről és a riasztásokról, ahol a fájl látható, a használt fájlnevekről, azoknak az eszközöknek a számáról, ahol a fájl az elmúlt 30 napban volt látható, beleértve azokat a dátumokat, amikor a fájl először és utoljára jelent meg a szervezetben, vírus teljes észlelési aránya, Microsoft Defender víruskereső észlelése, a fájlhoz csatlakoztatott felhőalkalmazások száma és a fájl elterjedtsége a szervezeten kívüli eszközökön.

Megjegyzés:

A különböző felhasználók eltérő értékeket láthatnak a fájlprevalenciát tartalmazó kártya Szervezeti eszközök szakaszában. Ennek az az oka, hogy a kártya a felhasználó szerepköralapú hozzáférés-vezérlési (RBAC) hatóköre alapján jelenít meg információkat. Ez azt jelenti, hogy ha egy felhasználó egy adott eszközcsoporton kapott láthatóságot, akkor csak a fájl szervezeti elterjedtségét fogja látni azokon az eszközökön.

Incidensek és riasztások

Az Incidensek és riasztások lap megjeleníti a fájlhoz társított incidensek listáját, valamint azokat a riasztásokat, amelyekhez a fájl kapcsolódik. Ez a lista ugyanazokat az információkat tartalmazza, mint az incidensek várólistája. Az Oszlopok testreszabása lehetőség kiválasztásával kiválaszthatja, hogy milyen típusú információk jelenjenek meg. A listát a Szűrő lehetőség kiválasztásával is szűrheti.

Szervezeten belül megfigyelve

A Szervezeten belül megfigyelt lapon láthatja a fájlban megfigyelt eszközöket és felhőalkalmazásokat. Az eszközökhöz kapcsolódó fájlelőzmények az elmúlt hat hónapig jeleníthetők meg, míg a felhőalkalmazásokkal kapcsolatos előzményei az elmúlt 30 napra visszamenőleg

Eszközök

Ez a szakasz azokat az eszközöket mutatja be, ahol a fájl észlelve van. A szakasz egy népszerű jelentést tartalmaz, amely az elmúlt 30 napban megfigyelt fájlok számát azonosítja. A trendvonal alatt részletes információkat talál a fájlról minden eszközön, ahol az látható, beleértve a fájlvégrehajtás állapotát, az egyes eszközökön az első és utolsó látott eseményeket, a kezdeményező folyamatot és időt, valamint az eszközhöz társított fájlneveket.

A listában egy eszközre kattintva megtekintheti az egyes eszközök teljes hat hónapos fájlelőzményeit, és az eszköz idővonalán az elsőként látott eseményre válthat.

Felhőalkalmazások

Megjegyzés:

A Felhőalkalmazásokhoz készült Defendert engedélyezni kell a felhőalkalmazásokkal kapcsolatos fájlinformációk megtekintéséhez.

Ez a szakasz az összes olyan felhőalkalmazást mutatja be, ahol a fájl látható. Olyan információkat is tartalmaz, mint a fájl neve, az alkalmazáshoz társított felhasználók, egy adott felhőalkalmazás-szabályzattal való egyezések száma, a társított alkalmazások neve, a fájl utolsó módosításának dátuma és a fájl elérési útja.

Fájlnevek

A Fájlnevek lapon a szervezeten belüli összes olyan név szerepel, amelyet a fájlban megfigyelt.

Fájl tartalma és képességei

Megjegyzés:

A fájltartalom és a képességek nézetei attól függenek, hogy a Microsoft elemezte-e a fájlt.

A Fájl tartalma lap a hordozható végrehajtható fájlokkal (PE) kapcsolatos információkat sorolja fel, beleértve a folyamatírásokat, a folyamatlétrehozásokat, a hálózati tevékenységeket, a fájlírásokat, a fájltörléseket, a beállításjegyzék olvasását, a beállításjegyzék írását, a sztringeket, az importálásokat és az exportálásokat. Ez a lap a fájl összes funkcióját is megjeleníti.

A fájlképességek nézet a mitre ATT&CK-technikákhoz™ leképezett fájl tevékenységeit sorolja fel.

Kapcsolódó témakörök

• A Végponthoz készült Microsoft Defender-üzenetsor megtekintése és rendszerezése
• Végponthoz készült Microsoft Defender-riasztások kezelése
• Végponthoz készült Microsoft Defender-riasztások vizsgálata
• Eszközök vizsgálata a Végponthoz készült Microsoft Defender Eszközök listában
• Végponthoz készült Microsoft Defender-riasztáshoz társított IP-cím vizsgálata
• Végponthoz készült Microsoft Defender-riasztáshoz társított tartomány vizsgálata
• Felhasználói fiók vizsgálata a Végponthoz készült Microsoft Defender-ben
• Válaszműveletek végrehajtása egy fájlon

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.