Válaszműveletek végrehajtása egy fájlon

  • Cikk

Érintett szolgáltatás:

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Gyorsan reagálhat az észlelt támadásokra a fájlok leállításával és kizárásával vagy egy fájl blokkolásával. A fájlokon végzett műveletek után a Műveletközpontban ellenőrizheti a tevékenység részleteit.

A válaszműveletek a fájl részletes profillapján érhetők el. Ezen a lapon válthat az új és a régi lapelrendezés között az új Fájl lap bekapcsolásával. A cikk további része az újabb lapelrendezést ismerteti.

A válaszműveletek a fájllap tetején futnak, és a következőket tartalmazzák:

  • Fájl leállítása és karanténba helyezése
  • Mutató kezelése
  • Fájl letöltése
  • Fájl gyűjtése
  • Kérdés feltevése Defender-szakértőknek
  • Manuális műveletek
  • Go hunt
  • Mélyelemzés

Megjegyzés:

Ha a Végponthoz készült Defender 1. csomagját használja, bizonyos válaszműveleteket manuálisan is végrehajthat. További információ: Manuális válaszműveletek.

A fájlokat mély elemzésre is elküldheti, hogy biztonságos felhőbeli tesztkörnyezetben futtassa a fájlt. Ha az elemzés befejeződött, egy részletes jelentést kap, amely a fájl viselkedésével kapcsolatos információkat tartalmaz. A Mélyelemzés művelet kiválasztásával fájlokat küldhet be mély elemzésre, és elolvashatja a korábbi jelentéseket.

Egyes műveletek bizonyos engedélyeket igényelnek. Az alábbi táblázat azt ismerteti, hogy bizonyos engedélyek milyen műveletet hajthatnak végre a hordozható végrehajtható fájlokon (PE) és a nem PE fájlokon:

Engedély PE-fájlok Nem PE-fájlok
Adatok megtekintése X X
Riasztások vizsgálata X
Alapszintű élő válasz X X
Élő válasz – speciális

A szerepkörökről további információt a szerepköralapú hozzáférés-vezérlés szerepköreinek Létrehozás és kezelése című témakörben talál.

Hálózati fájlok leállítása és karanténba helyezése

A szervezeten belüli támadást a kártékony folyamat leállításával és a megfigyelt fájl kifárasztásával is kezelheti.

Fontos

Ezt a műveletet csak akkor hajthatja végre, ha:

  • Az eszköz, amelyen a műveletet végrehajtja, Windows 10, 1703-es vagy újabb, Windows 11 és Windows Server 2012 R2+ verziót futtatja
  • A fájl nem megbízható külső közzétevőkhöz tartozik, vagy a Microsoft nem írta alá
  • Microsoft Defender víruskeresőnek legalább passzív módban kell futnia. További információ: Microsoft Defender víruskereső kompatibilitása.

A Fájl leállítása és karanténba helyezése művelet magában foglalja a folyamatok futtatásának leállítását, a fájlok quarantinálását, valamint az állandó adatok, például a beállításkulcsok törlését.

Ez a művelet az Windows 10, az 1703-es vagy újabb, valamint a Windows 11 és a Server 2012 R2+ verziójú eszközökön lép érvénybe, ahol a fájlt az elmúlt 30 napban figyelték meg.

Megjegyzés:

A fájlt bármikor visszaállíthatja karanténból.

Fájlok leállítása és karanténba helyezése

  1. Jelölje ki a leállítani és karanténba helyezni kívánt fájlt. Az alábbi nézetek bármelyikéből kiválaszthat egy fájlt, vagy használhatja a Keresés mezőt:

    • Riasztások – válassza ki a megfelelő hivatkozásokat a Leírás vagy a Részletek területen a Riasztási történet idővonalán
    • Keresés mező – válassza a Legördülő menü Fájl elemét, és adja meg a fájl nevét

    Megjegyzés:

    A leállítási és karanténba helyezési fájlművelet legfeljebb 1000 eszközre korlátozódik. Ha több eszközön szeretne leállítani egy fájlt, olvassa el a Jelző hozzáadása a fájl letiltásához vagy engedélyezéséhez című témakört.

  2. Lépjen a felső sávra, és válassza a Fájl leállítása és karanténba helyezése lehetőséget.

    A fájl leállítása és karanténba helyezése művelet

  3. Adja meg az okot, majd válassza a Megerősítés lehetőséget.

    A leállítási és karanténba helyezési fájl oldala

    A Műveletközpont a beküldési információkat jeleníti meg:

    A leállítási és karanténba helyezési fájlműveleti központ

    • Beküldési idő – Megjeleníti a művelet elküldésének időpontját.
    • Success – Azokat az eszközöket jeleníti meg, ahol a fájlt leállították és karanténba helyezték.
    • Sikertelen – Azon eszközök számát jeleníti meg, ahol a művelet sikertelen volt, valamint a hibával kapcsolatos részleteket.
    • Függőben – Azon eszközök számát jeleníti meg, ahonnan a fájlt még le kell állítani és karanténba kell helyezni. Ez időt vehet igénybe olyan esetekben, amikor az eszköz offline állapotban van, vagy nem csatlakozik a hálózathoz.

  4. Válassza ki bármelyik állapotjelzőt a művelet további információinak megtekintéséhez. Válassza például a Sikertelen lehetőséget a művelet sikertelenségének megtekintéséhez.

Értesítés az eszközfelhasználóról

Amikor a fájlt eltávolítják egy eszközről, a következő értesítés jelenik meg:

Az eszközfelhasználó értesítése

Az eszköz idővonalán a rendszer minden olyan eszközhöz új eseményt ad hozzá, ahol a fájl le lett állítva és karanténba lett helyezve.

Figyelmeztetés jelenik meg, mielőtt a műveletet a szervezeten belül széles körben használt fájlokra implementálják. Ellenőrizni kell, hogy a művelet célja-e.

Fájl visszaállítása karanténból

Ha egy vizsgálat után megállapította, hogy tiszta, visszaállíthatja és eltávolíthatja a fájlokat a karanténból. Futtassa a következő parancsot minden olyan eszközön, amelyen a fájl karanténba lett helyezve.

  1. Nyisson meg egy emelt szintű parancssort az eszközön:

    1. Nyissa meg a Start menüt , és írja be a cmd parancsot.

    2. Kattintson a jobb gombbal a Parancssor elemre , és válassza a Futtatás rendszergazdaként parancsot.

  2. Írja be a következő parancsot, és nyomja le az Enter billentyűt:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All

    Megjegyzés:

    Bizonyos esetekben a ThreatName a következőképpen jelenhet meg: EUS:Win32/CustomEnterpriseBlock!cl.

    A Végponthoz készült Defender visszaállítja az összes egyéni letiltott fájlt, amely az elmúlt 30 napban karanténba lett helyezve az eszközön.

Fontos

Előfordulhat, hogy egy potenciális hálózati fenyegetésként karanténba helyezett fájl nem állítható helyre. Ha egy felhasználó karanténba helyezés után megpróbálja visszaállítani a fájlt, előfordulhat, hogy a fájl nem érhető el. Ennek az lehet az oka, hogy a rendszer már nem rendelkezik hálózati hitelesítő adatokkal a fájl eléréséhez. Ez általában egy rendszerbe vagy megosztott mappába való ideiglenes bejelentkezés eredménye, és a hozzáférési jogkivonatok lejártak.

Fájl letöltése vagy összegyűjtése

Ha a Válaszműveletek közül a Fájl letöltése lehetőséget választja, letöltheti a fájlt tartalmazó helyi, jelszóval védett .zip archívumot. Megjelenik egy úszó panel, ahol rögzítheti a fájl letöltésének okát, és beállíthat egy jelszót.

Alapértelmezés szerint le kell tudnia tölteni a karanténban lévő fájlokat.

A Fájl letöltése gomb állapota a következő lehet:

  • Aktív – Összegyűjtheti a fájlt.

  • Letiltva – Ha a gomb szürkítve jelenik meg vagy le van tiltva egy aktív gyűjtési kísérlet során, előfordulhat, hogy nem rendelkezik megfelelő RBAC-engedélyekkel a fájlok gyűjtéséhez.

    A következő engedélyek szükségesek:

    Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) esetén:

    • Fájlgyűjtési engedély hozzáadása Microsoft Defender XDR Unified (RBAC) alkalmazásban

    Szerepköralapú hozzáférés-vezérlés (RBAC) Végponthoz készült Microsoft Defender esetén:

    Hordozható végrehajtható fájl (.exe, .sys, .dll stb.) esetén

    • Globális rendszergazda vagy speciális élő válasz vagy riasztások

    Nem hordozható végrehajtható fájl (.txt, .docx és egyebek)

A fájlletöltési művelet

Karanténba helyezett fájlok letöltése

A Microsoft Defender Víruskereső vagy a biztonsági csapat által karanténba helyezett fájlokat a rendszer a mintabeküldési konfigurációknak megfelelően menti. A biztonsági csapat közvetlenül a fájl részletes lapjáról töltheti le a fájlokat a "Fájl letöltése" gombbal. Ez a funkció alapértelmezés szerint be van kapcsolva.

A hely a szervezet földrajzi beállításaitól függ (EU, Egyesült Királyság vagy USA). A karanténba helyezett fájlokat szervezetenként csak egyszer gyűjtjük össze. További információ a Microsoft adatvédelmi gyakorlatáról a Szolgáltatásmegbízhatósági portálon: https://aka.ms/STP.

Ha ez a beállítás be van kapcsolva, a biztonsági csapatok gyorsabban és kevésbé kockázatos módon vizsgálhatják meg a potenciálisan rossz fájlokat, és kivizsgálhatják az incidenseket. Ha azonban ki kell kapcsolnia ezt a beállítást, lépjen a Beállítások>Végpontok>Speciális funkciók>Karanténba helyezett fájlok letöltése című szakaszra a beállítás módosításához. További információ a speciális funkciókról

Karanténba helyezett fájlok biztonsági mentése

Előfordulhat, hogy a felhasználókat a rendszer explicit hozzájárulás megadására kéri a karanténba helyezett fájl biztonsági mentése előtt, a minta beküldési konfigurációjától függően.

Ez a funkció nem működik, ha a mintaküldés ki van kapcsolva. Ha az automatikus mintaküldés úgy van beállítva, hogy engedélyt kérjen a felhasználótól, akkor csak azokat a mintákat gyűjtjük, amelyeket a felhasználó elfogad az elküldésre.

Fontos

A karanténba helyezett fájlra vonatkozó követelmények letöltése:

  • A szervezet aktív módban Microsoft Defender víruskeresőt használ
  • A víruskereső motor verziója 1.1.17300.4 vagy újabb. Lásd: Havi platform- és motorverziók
  • A felhőalapú védelem engedélyezve van. Lásd: A felhőalapú védelem bekapcsolása
  • A mintabeküldés be van kapcsolva
  • Az eszközök Windows 10 1703-es vagy újabb, illetve Windows Server 2016-os vagy 2019-es vagy Windows Server 2022-es vagy Windows 11

Fájlok gyűjtése

Ha egy fájlt még nem tárol a Végponthoz készült Microsoft Defender, nem töltheti le. Ehelyett egy Fájl összegyűjtése gomb jelenik meg ugyanazon a helyen.

A Fájl összegyűjtése gomb állapota a következő lehet:

  • Aktív – Összegyűjtheti a fájlt.

  • Letiltva – Ha a gomb szürkítve jelenik meg vagy le van tiltva egy aktív gyűjtési kísérlet során, előfordulhat, hogy nem rendelkezik megfelelő RBAC-engedélyekkel a fájlok gyűjtéséhez.

    A következő engedélyek szükségesek:

    Hordozható végrehajtható fájl (.exe, .sys, .dll stb.) esetén

    • Globális rendszergazda vagy speciális élő válasz vagy riasztások

    Nem hordozható végrehajtható fájl (.txt, .docx és egyebek)

    • Globális rendszergazdai vagy speciális élő válasz

Ha egy fájl az elmúlt 30 napban nem volt látható a szervezetben, a Collect file (Fájl összegyűjtése ) funkció le lesz tiltva.

Fontos

Előfordulhat, hogy egy potenciális hálózati fenyegetésként karanténba helyezett fájl nem állítható helyre. Ha egy felhasználó karanténba helyezés után megpróbálja visszaállítani a fájlt, előfordulhat, hogy a fájl nem érhető el. Ennek az lehet az oka, hogy a rendszer már nem rendelkezik hálózati hitelesítő adatokkal a fájl eléréséhez. Ez általában egy rendszerbe vagy megosztott mappába való ideiglenes bejelentkezés eredménye, és a hozzáférési jogkivonatok lejártak.

Jelző hozzáadása fájl letiltásához vagy engedélyezéséhez

Megakadályozhatja a szervezeten belüli támadások további terjesztését, ha letiltja a potenciálisan rosszindulatú fájlokat vagy a gyanús kártevőket. Ha tud egy potenciálisan rosszindulatú végrehajtható fájlról (PE), letilthatja azt. Ez a művelet megakadályozza az olvasást, az írást és a végrehajtást a szervezet eszközein.

Fontos

  • Ez a funkció akkor érhető el, ha szervezete Microsoft Defender víruskeresőt használ, és a felhőben biztosított védelem engedélyezve van. További információ: Felhőben biztosított védelem kezelése.

  • A Kártevőirtó ügyfélverziónak 4.18.1901.x vagy újabb verziónak kell lennie.

  • Ez a funkció megakadályozza, hogy a gyanús kártevők (vagy potenciálisan rosszindulatú fájlok) letöltődjenek az internetről. Jelenleg a hordozható végrehajtható (PE) fájlokat támogatja, beleértve a.exe és .dll fájlokat. A lefedettség idővel meghosszabbodik.

  • Ez a válaszművelet Windows 10, 1703-es vagy újabb verziójú és Windows 11 rendszerű eszközökön érhető el.

  • Az engedélyezési vagy blokkolási függvény nem végezhető el fájlokon, ha a fájl besorolása az eszköz gyorsítótárában az engedélyezési vagy blokkolási művelet előtt létezik.

Megjegyzés:

A PE-fájlnak az eszköz idővonalán kell lennie ahhoz, hogy végrehajthassa ezt a műveletet.

A művelet végrehajtása és a tényleges fájl letiltása között néhány perc késés lehet.

A blokkfájl-funkció engedélyezése

A fájlok blokkolásának megkezdéséhez először be kell kapcsolnia a Letiltás vagy engedélyezés funkciót a Gépházban.

Fájl engedélyezése vagy letiltása

Amikor egy fájlhoz mutató kivonatot ad hozzá, riasztást állíthat be, és letilthatja a fájlt, amikor a szervezet egy eszköze megpróbálja futtatni.

A jelző által automatikusan blokkolt fájlok nem jelennek meg a fájl Műveletközpontjában, de a riasztások továbbra is megjelennek a Riasztások várólistán.

A fájlok blokkolásával és riasztásaival kapcsolatos további részletekért tekintse meg a mutatók kezelését ismertető szakaszt.

A fájlok blokkolásának leállításához távolítsa el a jelzőt. Ezt a mutató szerkesztése műveleten keresztül teheti meg a fájl profillapján. Ez a művelet a Mutató hozzáadása műveletével megegyező pozícióban jelenik meg, mielőtt hozzáadja a mutatót.

A mutatókat a Beállítások lapSzabálymutatók> területén is szerkesztheti. A mutatók ezen a területen a fájl kivonata szerint vannak felsorolva.

Tevékenység részleteinek ellenőrzése a Műveletközpontban

A Műveletközpont információt nyújt az eszközön vagy fájlon végrehajtott műveletekről. A következő részleteket tekintheti meg:

  • Vizsgálaticsomag-gyűjtemény
  • Víruskereső vizsgálata
  • Alkalmazáskorlátozás
  • Eszközelkülönítés

Az összes többi kapcsolódó részlet is megjelenik, például a beküldés dátuma/időpontja, a felhasználó elküldése, valamint a művelet sikeres vagy sikertelen volt.

A műveletközpont információkkal

Mélyelemzés

A kiberbiztonsági vizsgálatokat általában riasztás aktiválja. A riasztások egy vagy több megfigyelt fájlhoz kapcsolódnak, amelyek gyakran újak vagy ismeretlenek. A fájl kiválasztásakor megnyitja a fájlnézetet, ahol megtekintheti a fájl metaadatait. A fájlhoz kapcsolódó adatok bővítéséhez elküldheti a fájlt mély elemzésre.

A Mély elemzés funkció biztonságos, teljes körűen kialakított felhőkörnyezetben hajt végre egy fájlt. A részletes elemzési eredmények a fájl tevékenységeit, megfigyelt viselkedését és a kapcsolódó összetevőket mutatják, például az elvetett fájlokat, a beállításjegyzék módosításait és az IP-címekkel folytatott kommunikációt. A mély elemzés jelenleg támogatja a hordozható végrehajtható (PE) fájlok (beleértve a.exe és a.dll fájlokat) átfogó elemzését.

Egy fájl részletes elemzése több percig is eltarthat. A fájlelemzés befejezése után a Mélyelemzés lap frissül, hogy megjelenítse az összesítést, valamint a legfrissebb elérhető eredmények dátumát és időpontját.

A részletes elemzés összefoglalása tartalmazza a megfigyelt viselkedések listáját, amelyek közül néhány rosszindulatú tevékenységre és megfigyelhetőkre utalhat, beleértve a lemezen létrehozott kapcsolatfelvételi IP-címeket és fájlokat. Ha nem található semmi, ezek a szakaszok egy rövid üzenetet jelenítenek meg.

A részletes elemzés eredményei megegyeznek a fenyegetésfelderítéssel, és az egyezések megfelelő riasztásokat hoznak létre.

A részletes elemzési funkcióval megvizsgálhatja bármely fájl részleteit, általában egy riasztás vizsgálata során, vagy bármilyen más okból, amikor rosszindulatú viselkedésre gyanakszik. Ez a funkció a fájl lapjának tetején érhető el. Válassza ki a három elemet a Mélyelemzés művelet eléréséhez.

A Mély elemzés művelet képernyőképe

A részletes elemzésről az alábbi videóból tájékozódhat:

A Küldés mély elemzésre lehetőség akkor van engedélyezve, ha a fájl elérhető a Végponthoz készült Defender háttérrendszer mintagyűjteményében, vagy ha egy olyan Windows 10 eszközön figyelték meg, amely támogatja a mély elemzésre való küldést.

Megjegyzés:

Csak Windows 10, Windows 11 és Windows Server 2012 R2+ fájlokat lehet automatikusan gyűjteni.

Ha a fájlt nem figyelték meg egy Windows 10 eszközön (vagy Windows 11 vagy Windows Server 2012 R2+), akkor a Microsoft Defender portálon keresztül is beküldhet egy mintát, és várja meg, amíg elérhetővé válik a Küldés a mélyelemzésre gomb.

Megjegyzés:

A Microsoft Defender portál háttérfeldolgozási folyamatai miatt akár 10 perc késés is lehet a fájlküldés és a végponthoz készült Defender mélyelemzési funkciójának rendelkezésre állása között.

Fájlok elküldése mély elemzéshez

  1. Válassza ki azt a fájlt, amelyet mély elemzésre szeretne elküldeni. A fájlokat az alábbi nézetek bármelyikéből választhatja ki vagy keresheti meg:

    • Riasztások – válassza ki a fájlhivatkozásokat a Leírás vagy a Részletek területen a Riasztási történet idővonalán
    • Eszközök listája – válassza ki a fájlhivatkozásokat a Leírás vagy a Részletek területen, a Szervezeti eszköz szakaszban
    • Keresés mező – válassza a Legördülő menü Fájl elemét, és adja meg a fájl nevét

  2. A fájlnézet Mély elemzés lapján válassza a Küldés lehetőséget.

    A PE-fájlok küldése gomb

    Megjegyzés:

    Csak a PE-fájlok támogatottak, beleértve .exe és .dll fájlokat.

    Megjelenik egy folyamatjelző sáv, amely információkat biztosít az elemzés különböző szakaszairól. Ezután megtekintheti a jelentést az elemzés befejezésekor.

Megjegyzés:

Az eszköz rendelkezésre állásától függően a mintagyűjtés időtartama eltérő lehet. A mintagyűjtemény 3 órás időtúllépést jelent. A gyűjtemény sikertelen lesz, és a művelet megszakad, ha nincs online Windows 10 eszköz (vagy Windows 11 vagy Windows Server 2012 R2+) jelentés. Fájlokat küldhet újra mély elemzésre, hogy friss adatokat kapjon a fájlról.

Részletes elemzési jelentések megtekintése

Tekintse meg a megadott részletes elemzési jelentést a beküldött fájl részletesebb elemzéséhez. Ez a funkció a fájlnézet környezetében érhető el.

Az alábbi szakaszokról részletes információkat tartalmazó átfogó jelentést tekinthet meg:

  • Viselkedésmódok
  • Megfigyelhetők

A megadott részletek segíthetnek kivizsgálni, hogy vannak-e lehetséges támadásra utaló jelek.

  1. Válassza ki a részletes elemzéshez beküldött fájlt.

  2. Válassza a Mély elemzés lapot. Ha vannak korábbi jelentések, a jelentés összegzése ezen a lapon jelenik meg.

    Részletes elemzési jelentés, amely számos kategória részletes információit tartalmazza

Részletes elemzés hibaelhárítása

Ha problémát tapasztal egy fájl elküldésekor, próbálkozzon az alábbi hibaelhárítási lépésekkel.

  1. Győződjön meg arról, hogy a szóban forgó fájl PE-fájl. A PE-fájlok általában .exe vagy .dll kiterjesztéssel rendelkeznek (végrehajtható programok vagy alkalmazások).

  2. Győződjön meg arról, hogy a szolgáltatás hozzáfér a fájlhoz, hogy még létezik, és nem sérült vagy nem lett módosítva.

  3. Várjon egy kis ideig, és próbálja meg újra elküldeni a fájlt. Lehet, hogy az üzenetsor megtelt, vagy ideiglenes kapcsolati vagy kommunikációs hiba történt.

  4. Ha a mintagyűjtési szabályzat nincs konfigurálva, akkor az alapértelmezett viselkedés a mintagyűjtés engedélyezése. Ha konfigurálva van, ellenőrizze, hogy a házirend-beállítás engedélyezi-e a mintagyűjtést a fájl újbóli elküldése előtt. Ha a mintagyűjtemény konfigurálva van, ellenőrizze a következő beállításjegyzék-értéket:

    Path: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
Name: AllowSampleCollection
Type: DWORD
Hexadecimal value :
  Value = 0 - block sample collection
  Value = 1 - allow sample collection

  5. Módosítsa a szervezeti egységet a Csoportházirend. További információ: Konfigurálás Csoportházirend.

  6. Ha ezek a lépések nem oldják meg a problémát, forduljon az ügyfélszolgálathoz.

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.