Een bestand onderzoeken dat is gekoppeld aan een Microsoft Defender voor Eindpunt-waarschuwing

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Onderzoek de details van een bestand dat is gekoppeld aan een specifieke waarschuwing, gedrag of gebeurtenis om te bepalen of het bestand schadelijke activiteiten vertoont, de motivatie van de aanval te identificeren en inzicht te krijgen in het mogelijke bereik van de inbreuk.

Er zijn veel manieren om toegang te krijgen tot de gedetailleerde profielpagina van een specifiek bestand. U kunt bijvoorbeeld de zoekfunctie gebruiken, op een koppeling klikken in de structuur van het waarschuwingsproces, de incidentgrafiek, de artefacttijdlijn of een gebeurtenis selecteren die wordt vermeld in de tijdlijn van het apparaat.

Eenmaal op de gedetailleerde profielpagina kunt u schakelen tussen de nieuwe en oude pagina-indelingen door de nieuwe bestandspagina in te schakelen. In de rest van dit artikel wordt de nieuwere pagina-indeling beschreven.

U kunt informatie ophalen uit de volgende secties in de bestandsweergave:

  • Bestandsdetails, detectie van malware, bestandsprevalentie
  • PE-metagegevens van bestand (indien aanwezig)
  • Uitgebreide analyse
  • Waarschuwingen
  • Waargenomen in de organisatie
  • Uitgebreide analyse
  • Bestandsnamen

U kunt ook actie ondernemen op een bestand vanaf deze pagina.

Bestandsacties

Boven aan de profielpagina, boven de bestandsinformatiekaarten. Acties die u hier kunt uitvoeren, zijn onder andere:

  • Stoppen en in quarantaine
  • Indicator voor toevoegen/bewerken
  • Bestand downloaden
  • Contact opnemen met een risicodeskundige
  • Actiecentrum

Zie Actie ondernemen voor een bestand voor meer informatie over deze acties.

Bestandsdetails, detectie van malware en bestandsprevalentie

De bestandsgegevens, incidenten, malwaredetectie en bestandsprevalentiekaarten geven verschillende kenmerken over het bestand weer.

U ziet details zoals de MD5 van het bestand, de virustotaaldetectieverhouding en Microsoft Defender Antivirus-detectie, indien beschikbaar, en de prevalentie van het bestand.

De prevalentiekaart van het bestand laat zien waar het bestand is gezien op apparaten in de organisatie en wereldwijd. U kunt eenvoudig draaien naar de eerste en laatste apparaten waarop het bestand is gezien en het onderzoek voortzetten in de tijdlijn van het apparaat.

Notitie

Verschillende gebruikers kunnen ongelijke waarden zien in de apparaten in de organisatiesectie van de bestandsprevalentiekaart. Dit komt doordat de kaart informatie weergeeft op basis van het RBAC-bereik dat een gebruiker heeft. Dit betekent dat als aan een gebruiker zichtbaarheid is verleend op een specifieke set apparaten, deze alleen de prevalentie van de bestandsorganisatie op die apparaten ziet.

De bestandsgegevens

Waarschuwingen

Het tabblad Waarschuwingen bevat een lijst met waarschuwingen die aan het bestand zijn gekoppeld, evenals het incident waaraan de waarschuwing is gekoppeld. Deze lijst bevat veel van dezelfde informatie als de waarschuwingenwachtrij, met uitzondering van de apparaatgroep, indien aanwezig, waartoe het betreffende apparaat behoort. U kunt kiezen welk soort informatie wordt weergegeven door kolommen aanpassen te selecteren op de werkbalk boven de kolomkoppen.

De waarschuwingen met betrekking tot de bestandssectie

Waargenomen in de organisatie

Op het tabblad Waargenomen in organisatie kunt u een datumbereik opgeven om te zien welke apparaten met het bestand zijn waargenomen.

Notitie

Op dit tabblad worden maximaal 100 apparaten weergegeven. Als u alle apparaten met het bestand wilt zien, exporteert u het tabblad naar een CSV-bestand door Exporteren te selecteren in het actiemenu boven de kolomkoppen van het tabblad.

De meest recente waargenomen apparaten met het bestand

Gebruik de schuifregelaar of de bereikkiezer om snel een periode op te geven die u wilt controleren op gebeurtenissen met betrekking tot het bestand. U kunt worden bijgestaan door de waarschuwingsindicatie over het bereik. U kunt een tijdvenster opgeven dat zo klein is als één dag. Hierdoor kunt u alleen bestanden zien die op dat moment met dat IP-adres hebben gecommuniceerd, waardoor onnodig schuiven en zoeken drastisch wordt verminderd.

Uitgebreide analyse

Op het tabblad Grondige analyse kunt u het bestand indienen voor grondige analyse, om meer informatie over het gedrag van het bestand te ontdekken, evenals het effect dat het heeft binnen uw organisaties. Nadat u het bestand hebt verzonden, wordt het rapport voor grondige analyse weergegeven op dit tabblad zodra de resultaten beschikbaar zijn. Als een grondige analyse niets heeft gevonden, is het rapport leeg en blijft de resultatenruimte leeg.

Het tabblad Grondige analyse

Bestandsnamen

Op het tabblad Bestandsnamen worden alle namen vermeld die het bestand in uw organisatie kan gebruiken.

Het tabblad Bestandsnamen

Actiecentrum

In het actiecentrum wordt het actiecentrum weergegeven dat is gefilterd op een specifiek bestand, zodat u in behandeling zijnde acties en de geschiedenis van acties voor het bestand kunt zien.