ファイルを調査する

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

特定のアラート、動作、またはイベントに関連付けられているファイルの詳細を調査して、ファイルが悪意のあるアクティビティを示しているかどうかを判断し、攻撃の動機を特定し、侵害の潜在的な範囲を理解するのに役立ちます。

特定のファイルの詳細なプロファイル ページにアクセスするには、さまざまな方法があります。 たとえば、検索機能を使用したり、アラート プロセス ツリーインシデント グラフ成果物タイムラインからリンクをクリックしたり、デバイス タイムラインに一覧表示されているイベントを選択したりできます。

詳細なプロファイル ページが表示されたら、新しい [ファイル] ページを切り替えることで、 新しいページ レイアウトと古いページ レイアウトを切り替えることができます。 この記事の残りの部分では、新しいページ レイアウトについて説明します。

ファイル ビューでは、次のセクションから情報を取得できます。

  • ファイルの詳細と PE メタデータ (存在する場合)
  • インシデントと警告
  • organizationで観察
  • ファイル名
  • ファイルの内容と機能 (ファイルが Microsoft によって分析された場合)

このページからファイルに対してアクションを実行することもできます。

ファイル操作

ファイル アクションは、プロファイル ページの上部にあるファイル情報カードの上にあります。 ここで実行できるアクションは次のとおりです。

  • 停止と検疫
  • インジケーターの管理
  • ファイルをダウンロードする
  • Defender エキスパートに質問する
  • 手動アクション
  • 検出する
  • 詳細分析

これらのアクションの詳細については、「 ファイルに対する応答 アクションの実行」を参照してください。

ファイル ページの概要

ファイル ページには、ファイルの詳細と属性、ファイルが表示されるインシデントとアラート、使用されたファイル名、過去 30 日間にファイルが表示されたデバイスの数 (ファイルが最初に表示され、最後に表示された日付など) の概要、organization ウイルスの合計検出率Microsoft Defenderウイルス対策検出、ファイルに接続されているクラウド アプリの数、およびorganization外のデバイスでのファイルの普及率。

注:

ファイルの普及率カードのorganizationセクションで、デバイスに異なる値が表示される場合があります。 これは、ユーザーが持つロールベースのアクセス制御 (RBAC) スコープに基づいて、カードに情報が表示されるためです。 つまり、ユーザーに特定のデバイス セットの可視性が付与されている場合、そのデバイスのファイル組織の普及率のみが表示されます。

[ファイル] ページの概要のスクリーンショット

インシデントと警告

[ インシデントとアラート ] タブには、ファイルに関連付けられているインシデントと、ファイルがリンクされているアラートの一覧が表示されます。 この一覧では、インシデント キューと同じ情報の大部分について説明します。 [ 列のカスタマイズ] を選択すると、表示される情報の種類を選択できます。 [フィルター] を選択して、一覧を フィルター処理することもできます。

インシデントとアラートを示すスクリーンショット。

organizationで観察

[organizationで観察] タブには、ファイルで観察されたデバイスとクラウド アプリが表示されます。 デバイスに関連するファイル履歴は過去 6 か月間まで表示できますが、クラウド アプリ関連の履歴は過去 30 日間までです

デバイス

このセクションでは、ファイルが検出されたすべてのデバイスを示します。 このセクションには、過去 30 日間にファイルが観察されたデバイスの数を識別する傾向レポートが含まれています。 近似曲線の下には、ファイルの実行状態、各デバイスの最初と最後に表示されたイベント、プロセスと時刻の開始、デバイスに関連付けられているファイル名など、ファイルが表示される各デバイス上のファイルに関する詳細情報が表示されます。

一覧のデバイスをクリックすると、各デバイスの 6 か月間のファイル履歴全体を調べて、デバイス タイムラインで最初に表示されたイベントにピボットできます。

ファイル内の [デバイス] ページのスクリーンショット

クラウド アプリ

注:

クラウド アプリに関連するファイル情報を表示するには、Defender for Cloud Apps ワークロードを有効にする必要があります。

このセクションでは、ファイルが監視されるすべてのクラウド アプリケーションを示します。 また、ファイル名、アプリに関連付けられているユーザー、特定のクラウド アプリ ポリシーに一致する数、関連付けられているアプリの名前、ファイルが最後に変更されたとき、ファイルのパスなどの情報も含まれます。

ファイル内のクラウド アプリ ページのスクリーンショット

ファイル名

[ ファイル名 ] タブには、組織内でファイルが使用するために監視されているすべての名前が一覧表示されます。

[ファイル名] タブ

ファイルのコンテンツと機能

注:

ファイルの内容と機能ビューは、Microsoft がファイルを分析したかどうかによって異なります。

[ファイル コンテンツ] タブには、プロセスの書き込み、プロセスの作成、ネットワーク アクティビティ、ファイルの書き込み、ファイルの削除、レジストリの読み取り、レジストリの書き込み、文字列、インポート、エクスポートなど、移植可能な実行可能ファイル (PE) に関する情報が一覧表示されます。 このタブには、すべてのファイルの機能も一覧表示されます。

ファイルのコンテンツのスクリーンショット

ファイル機能ビューには、MITRE ATT&CK™ 手法にマップされたファイルのアクティビティが一覧表示されます。

ファイルの機能のスクリーンショット

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。