Investigar um arquivo

  • Artigo

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Investigue os detalhes de um arquivo associado a um alerta, comportamento ou evento específico para ajudar a determinar se o arquivo exibe atividades mal-intencionadas, identificar a motivação de ataque e entender o escopo potencial da violação.

Há muitas maneiras de acessar a página de perfil detalhada de um arquivo específico. Por exemplo, você pode usar o recurso de pesquisa, clicar em um link da árvore de processo de alerta, grafo de incidente, artefato linha do tempo ou selecionar um evento listado no dispositivo linha do tempo.

Uma vez na página de perfil detalhado, você pode alternar entre os layouts de página novo e antigo, alternando nova página Arquivo. O restante deste artigo descreve o layout de página mais recente.

Você pode obter informações das seguintes seções no modo de exibição do arquivo:

  • Detalhes do arquivo e metadados de PE (se ele existir)
  • Incidentes e alertas
  • Observado na organização
  • Nomes de arquivos
  • Conteúdo e recursos de arquivo (se um arquivo tiver sido analisado pela Microsoft)

Você também pode tomar medidas em um arquivo a partir desta página.

Ações de arquivo

As ações de arquivo estão acima dos cartões de informações do arquivo na parte superior da página de perfil. As ações que você pode executar aqui incluem:

  • Interromper e colocar o arquivo em quarentena
  • Gerenciar indicador
  • Baixar o arquivo
  • Pergunte aos Especialistas do Defender
  • Ações manuais
  • Ir à caça
  • Análise profunda

Consulte tomar medidas de resposta em um arquivo para obter mais informações sobre essas ações.

Visão geral da página do arquivo

A página do arquivo oferece uma visão geral dos detalhes e atributos do arquivo, os incidentes e alertas em que o arquivo é visto, nomes de arquivo usados, o número de dispositivos em que o arquivo foi visto nos últimos 30 dias, incluindo as datas em que o arquivo foi visto pela primeira e última vez na organização, taxa de detecção total de vírus, Microsoft Defender detecção de antivírus, o número de aplicativos de nuvem conectados ao arquivo e a prevalência do arquivo em dispositivos fora da organização.

Observação

Diferentes usuários podem ver valores diferentes nos dispositivos na seção organização do cartão de prevalência de arquivo. Isso ocorre porque o cartão exibe informações com base no escopo RBAC (controle de acesso baseado em função) que um usuário tem. Isso significa que, se um usuário tiver recebido visibilidade em um conjunto específico de dispositivos, ele verá apenas a prevalência organizacional de arquivos nesses dispositivos.

Captura de tela da visão geral da página Arquivo

Incidentes e alertas

A guia Incidentes e alertas fornece uma lista de incidentes associados ao arquivo e aos alertas aos quais o arquivo está vinculado. Esta lista aborda muitas das mesmas informações que a fila de incidentes. Você pode escolher qual tipo de informação é mostrada selecionando Personalizar colunas. Você também pode filtrar a lista selecionando Filtro.

Captura de tela mostrando incidentes e alertas.

Observado na organização

A guia Observação na organização mostra os dispositivos e aplicativos de nuvem observados com o arquivo. O histórico de arquivos relacionado a dispositivos pode ser mostrado até os últimos seis meses, enquanto o histórico relacionado a aplicativos de nuvem é até os últimos 30 dias

Dispositivos

Esta seção mostra todos os dispositivos em que o arquivo é detectado. A seção inclui um relatório de tendência que identifica o número de dispositivos em que o arquivo foi observado nos últimos 30 dias. Abaixo da linha de tendência, você pode encontrar informações detalhadas sobre o arquivo em cada dispositivo em que ele é visto, incluindo status de execução de arquivo, eventos vistos pela primeira e última vez em cada dispositivo, iniciando processo e tempo e nomes de arquivo associados a um dispositivo.

Você pode clicar em um dispositivo na lista para explorar o histórico completo de arquivos de seis meses em cada dispositivo e pivotar para o primeiro evento visto no dispositivo linha do tempo.

Captura de tela da página de dispositivos em um arquivo

Aplicativos em nuvem

Observação

A carga de trabalho do Defender para Aplicativos de Nuvem deve estar habilitada para ver informações de arquivo relacionadas a aplicativos de nuvem.

Esta seção mostra todos os aplicativos de nuvem em que o arquivo é observado. Ele também inclui informações como os nomes do arquivo, os usuários associados ao aplicativo, o número de correspondências com uma política de aplicativo de nuvem específica, os nomes dos aplicativos associados, quando o arquivo foi modificado pela última vez e o caminho do arquivo.

Captura de tela da página de aplicativos de nuvem em um arquivo

Nomes de arquivos

A guia Nomes de arquivo lista todos os nomes que o arquivo foi observado para usar em suas organizações.

A guia Nomes de arquivo

Conteúdo e recursos de arquivo

Observação

O conteúdo do arquivo e as exibições de recursos dependem se a Microsoft analisou o arquivo.

A guia Conteúdo do arquivo lista informações sobre arquivos executáveis portáteis (PE), incluindo gravações de processo, criação de processo, atividades de rede, gravações de arquivo, exclusões de arquivo, leituras de registro, gravações de registro, cadeias de caracteres, importações e exportações. Essa guia também lista todos os recursos do arquivo.

Captura de tela do conteúdo de um arquivo

A exibição de recursos de arquivo lista as atividades de um arquivo mapeadas para as técnicas do MITRE ATT&CK™.

Captura de tela das funcionalidades de um arquivo

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.