Изучение файла

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Изучите сведения о файле, связанном с определенным оповещением, поведением или событием, чтобы определить, есть ли в файле вредоносные действия, определить мотивацию атаки и понять потенциальные область нарушения.

Существует множество способов доступа к странице подробного профиля определенного файла. Например, можно использовать функцию поиска, щелкнуть ссылку из дерева оповещений, графа инцидентов, артефакта временная шкала или выбрать событие, указанное в временная шкала устройства.

Перейдя на страницу подробного профиля, можно переключаться между новым и старым макетами страницы, переключив новую страницу Файл. В оставшейся части этой статьи описывается более новый макет страницы.

Сведения можно получить из следующих разделов в представлении файлов:

  • Сведения о файле и метаданные PE (если они существуют)
  • Инциденты и оповещения
  • Наблюдается в организации
  • Имена файлов
  • Содержимое и возможности файла (если файл был проанализирован корпорацией Майкрософт)

Вы также можете выполнить действия с файлом с этой страницы.

Действия с файлами

Действия с файлами находятся над карточками сведений о файлах в верхней части страницы профиля. Здесь можно выполнить следующие действия:

  • Останов и помещение в карантин
  • Управление индикатором
  • Скачивание файла
  • Спросите экспертов Defender
  • Действия, выполняемые вручную
  • Запуск слежения
  • Подробный анализ

Дополнительные сведения об этих действиях см. в статье Выполнение действий реагирования на файл .

Обзор страницы файлов

На странице файла представлен обзор сведений и атрибутов файла, инцидентов и оповещений, в которых отображается файл, используемых имен файлов, количества устройств, на которых файл был виден за последние 30 дней, включая даты, когда файл был первым и последним в организации, коэффициент общего обнаружения вирусов, Microsoft Defender обнаружение антивирусной программы, количество облачных приложений, подключенных к файлу, и распространенность файла на устройствах за пределами организации.

Примечание

Разные пользователи могут видеть разнородные значения в разделе устройства в организации карта распространенности файлов. Это связано с тем, что карта отображает сведения, основанные на область управления доступом на основе ролей (RBAC), которые есть у пользователя. Это означает, что если пользователю предоставлена видимость на определенном наборе устройств, он увидит только распространенность файлов в организации на этих устройствах.

Снимок экрана: обзор страницы

Инциденты и оповещения

На вкладке Инциденты и оповещения представлен список инцидентов, связанных с файлом, и оповещений, с которыми связан файл. Этот список охватывает большую часть той же информации, что и очередь инцидентов. Вы можете выбрать тип отображаемых сведений, выбрав Настроить столбцы. Вы также можете отфильтровать список, выбрав Фильтр.

Снимок экрана: инциденты и оповещения.

Наблюдается в организации

На вкладке Наблюдаемо в организации отображаются устройства и облачные приложения, наблюдаемые с файлом. Журнал файлов, связанных с устройствами, может отображаться за последние шесть месяцев, в то время как журнал, связанный с облачными приложениями, — за последние 30 дней.

Устройства

В этом разделе показаны все устройства, на которых обнаружен файл. В этом разделе содержится отчет о тенденциях, определяющий количество устройств, на которых за последние 30 дней наблюдался файл. Под линией тренда можно найти подробные сведения о файле на каждом устройстве, где он отображается, включая состояние выполнения файла, первые и последние видимые события на каждом устройстве, инициации процесса и времени, а также имена файлов, связанные с устройством.

Вы можете щелкнуть устройство в списке, чтобы просмотреть полный журнал файлов за шесть месяцев на каждом устройстве и свести к первому событию в временная шкала устройства.

Снимок экрана: страница устройств в файле

Облачные приложения

Примечание

Для просмотра сведений о файлах, связанных с облачными приложениями, должна быть включена рабочая нагрузка Defender for Cloud Apps.

В этом разделе показаны все облачные приложения, в которых наблюдается файл. Сюда также входят такие сведения, как имена файлов, пользователи, связанные с приложением, количество совпадений с определенной политикой облачных приложений, имена связанных приложений, время последнего изменения файла и путь к файлу.

Снимок экрана: страница облачных приложений в файле

Имена файлов

На вкладке Имена файлов перечислены все имена, которые файл использует в организации.

Вкладка

Содержимое и возможности файлов

Примечание

Содержимое файла и представления возможностей зависят от того, проанализировала ли этот файл корпорация Майкрософт.

На вкладке Содержимое файла содержатся сведения о переносимых исполняемых файлах (PE), включая записи процессов, создание процесса, сетевые действия, записи файлов, удаление файлов, операции чтения реестра, записи реестра, строки, импорт и экспорт. На этой вкладке также перечислены все возможности файла.

Снимок экрана: содержимое файла

В представлении возможностей файла перечислены действия файла, сопоставленные с методами MITRE ATT&CK™.

Снимок экрана: возможности файла

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.