Een bestand onderzoeken

  • Artikel

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Onderzoek de details van een bestand dat is gekoppeld aan een specifieke waarschuwing, gedrag of gebeurtenis om te bepalen of het bestand schadelijke activiteiten vertoont, identificeer de aanvalsmotivatie en begrijp het mogelijke bereik van de inbreuk.

Er zijn veel manieren om toegang te krijgen tot de gedetailleerde profielpagina van een specifiek bestand. U kunt bijvoorbeeld de zoekfunctie gebruiken, op een koppeling in de structuur van het waarschuwingsproces, de incidentgrafiek, de tijdlijn artefacten klikken of een gebeurtenis selecteren die wordt vermeld in de tijdlijn van het apparaat.

Zodra u op de gedetailleerde profielpagina bent, kunt u schakelen tussen de nieuwe en de oude pagina-indeling door de nieuwe bestandspagina in te schakelen. In de rest van dit artikel wordt de nieuwere pagina-indeling beschreven.

U kunt informatie ophalen uit de volgende secties in de bestandsweergave:

  • Bestandsdetails en PE-metagegevens (indien aanwezig)
  • Incidenten en waarschuwingen
  • Waargenomen in organisatie
  • Bestandsnamen
  • Bestandsinhoud en -mogelijkheden (als een bestand is geanalyseerd door Microsoft)

U kunt ook actie ondernemen op een bestand vanaf deze pagina.

Bestandsacties

De bestandsacties bevinden zich boven de bestandsinformatiekaarten bovenaan de profielpagina. Acties die u hier kunt uitvoeren, zijn onder andere:

  • Stoppen en in quarantaine plaatsen
  • Indicator beheren
  • Bestand downloaden
  • Vraag het aan Defender-experts
  • Handmatige acties
  • Beginnen met opsporen
  • Uitgebreide analyse

Zie Actie ondernemen op een bestand voor meer informatie over deze acties.

Overzicht van bestandspagina

De bestandspagina biedt een overzicht van de details en kenmerken van het bestand, de incidenten en waarschuwingen waar het bestand wordt gezien, gebruikte bestandsnamen, het aantal apparaten waarop het bestand is gezien in de afgelopen 30 dagen, inclusief de datums waarop het bestand voor het eerst en voor het laatst werd gezien in de organisatie, de totale detectieverhouding van het virus, Microsoft Defender Antivirusdetectie, het aantal cloud-apps dat is verbonden met het bestand en de prevalentie van het bestand op apparaten buiten de organisatie.

Opmerking

Verschillende gebruikers kunnen verschillende waarden zien in de apparaten in de sectie Organisatie van de bestandsprevalentiekaart. Dit komt doordat op de kaart informatie wordt weergegeven op basis van het bereik van op rollen gebaseerd toegangsbeheer (RBAC) dat een gebruiker heeft. Dit betekent dat als een gebruiker zichtbaarheid heeft gekregen op een specifieke set apparaten, deze alleen de prevalentie van de bestandsorganisatie op die apparaten ziet.

Schermopname van het overzicht van de bestandspagina

Incidenten en waarschuwingen

Het tabblad Incidenten en waarschuwingen bevat een lijst met incidenten die zijn gekoppeld aan het bestand en de waarschuwingen waaraan het bestand is gekoppeld. Deze lijst bevat veel van dezelfde informatie als de wachtrij voor incidenten. U kunt kiezen welk type informatie wordt weergegeven door Kolommen aanpassen te selecteren. U kunt de lijst ook filteren door Filteren te selecteren.

Schermopname van incidenten en waarschuwingen.

Waargenomen in organisatie

Op het tabblad Waargenomen in organisatie ziet u de apparaten en cloud-apps die met het bestand zijn waargenomen. Bestandsgeschiedenis met betrekking tot apparaten kan worden weergegeven tot de afgelopen zes maanden, terwijl de geschiedenis van cloud-apps tot de afgelopen 30 dagen is

Apparaten

In deze sectie worden alle apparaten weergegeven waarop het bestand wordt gedetecteerd. De sectie bevat een trendrapport waarin het aantal apparaten wordt aangegeven waarop het bestand in de afgelopen 30 dagen is waargenomen. Onder de trendlijn vindt u gedetailleerde informatie over het bestand op elk apparaat waar het wordt weergegeven, waaronder de uitvoeringsstatus van het bestand, gebeurtenissen die het eerst en laatst zijn gezien op elk apparaat, het initiëren van het proces en de tijd en bestandsnamen die aan een apparaat zijn gekoppeld.

U kunt op een apparaat in de lijst klikken om de volledige bestandsgeschiedenis van zes maanden op elk apparaat te verkennen en naar de eerste gebeurtenis in de apparaattijdlijn te draaien.

Schermopname van de apparatenpagina in een bestand

Cloud-apps

Opmerking

De workload Defender for Cloud Apps moet zijn ingeschakeld om bestandsinformatie te zien met betrekking tot cloud-apps.

In deze sectie ziet u alle cloudtoepassingen waarin het bestand wordt waargenomen. Het bevat ook informatie zoals de namen van het bestand, de gebruikers die zijn gekoppeld aan de app, het aantal overeenkomsten met een specifiek cloud-app-beleid, de namen van gekoppelde apps, wanneer het bestand voor het laatst is gewijzigd en het pad van het bestand.

Schermopname van de pagina cloud-apps in een bestand

Bestandsnamen

Op het tabblad Bestandsnamen worden alle namen vermeld die het bestand gebruikt, binnen uw organisaties.

Het tabblad Bestandsnamen

Bestandsinhoud en -mogelijkheden

Opmerking

De bestandsinhoud en mogelijkheden zijn afhankelijk van of Microsoft het bestand heeft geanalyseerd.

Op het tabblad Bestandsinhoud vindt u informatie over draagbare uitvoerbare (PE)-bestanden, waaronder schrijfbewerkingen voor processen, procescreatie, netwerkactiviteiten, schrijfbewerkingen voor bestanden, verwijderen van bestanden, registerleesbewerkingen, registerschrijfbewerkingen, tekenreeksen, import- en exportbewerkingen. Op dit tabblad worden ook alle mogelijkheden van het bestand weergegeven.

Schermopname van de inhoud van een bestand

In de weergave bestandsmogelijkheden worden de activiteiten van een bestand weergegeven die zijn toegewezen aan de MITRE ATT-&CK-technieken™.

Schermopname van de mogelijkheden van een bestand

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.