Изучение файла
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Изучите сведения о файле, связанном с определенным оповещением, поведением или событием, чтобы определить, есть ли в файле вредоносные действия, определить мотивацию атаки и понять потенциальные область нарушения.
Существует множество способов доступа к странице подробного профиля определенного файла. Например, можно использовать функцию поиска, щелкнуть ссылку из дерева оповещений, графа инцидентов, артефакта временная шкала или выбрать событие, указанное в временная шкала устройства.
Перейдя на страницу подробного профиля, можно переключаться между новым и старым макетами страницы, переключив новую страницу Файл. В оставшейся части этой статьи описывается более новый макет страницы.
Сведения можно получить из следующих разделов в представлении файлов:
- Сведения о файле и метаданные PE (если они существуют)
- Инциденты и оповещения
- Наблюдается в организации
- Имена файлов
- Содержимое и возможности файла (если файл был проанализирован корпорацией Майкрософт)
Вы также можете выполнить действия с файлом с этой страницы.
Действия с файлами находятся над карточками сведений о файлах в верхней части страницы профиля. Здесь можно выполнить следующие действия:
- Останов и помещение в карантин
- Управление индикатором
- Скачивание файла
- Спросите экспертов Defender
- Действия, выполняемые вручную
- Запуск слежения
- Подробный анализ
Дополнительные сведения об этих действиях см. в статье Выполнение действий реагирования на файл .
На странице файла представлен обзор сведений и атрибутов файла, инцидентов и оповещений, в которых отображается файл, используемых имен файлов, количества устройств, на которых файл был виден за последние 30 дней, включая даты, когда файл был первым и последним в организации, коэффициент общего обнаружения вирусов, Microsoft Defender обнаружение антивирусной программы, количество облачных приложений, подключенных к файлу, и распространенность файла на устройствах за пределами организации.
Примечание
Разные пользователи могут видеть разнородные значения в разделе устройства в организации карта распространенности файлов. Это связано с тем, что карта отображает сведения, основанные на область управления доступом на основе ролей (RBAC), которые есть у пользователя. Это означает, что если пользователю предоставлена видимость на определенном наборе устройств, он увидит только распространенность файлов в организации на этих устройствах.
На вкладке Инциденты и оповещения представлен список инцидентов, связанных с файлом, и оповещений, с которыми связан файл. Этот список охватывает большую часть той же информации, что и очередь инцидентов. Вы можете выбрать тип отображаемых сведений, выбрав Настроить столбцы. Вы также можете отфильтровать список, выбрав Фильтр.
На вкладке Наблюдаемо в организации отображаются устройства и облачные приложения, наблюдаемые с файлом. Журнал файлов, связанных с устройствами, может отображаться за последние шесть месяцев, в то время как журнал, связанный с облачными приложениями, — за последние 30 дней.
В этом разделе показаны все устройства, на которых обнаружен файл. В этом разделе содержится отчет о тенденциях, определяющий количество устройств, на которых за последние 30 дней наблюдался файл. Под линией тренда можно найти подробные сведения о файле на каждом устройстве, где он отображается, включая состояние выполнения файла, первые и последние видимые события на каждом устройстве, инициации процесса и времени, а также имена файлов, связанные с устройством.
Вы можете щелкнуть устройство в списке, чтобы просмотреть полный журнал файлов за шесть месяцев на каждом устройстве и свести к первому событию в временная шкала устройства.
Примечание
Для просмотра сведений о файлах, связанных с облачными приложениями, должна быть включена рабочая нагрузка Defender for Cloud Apps.
В этом разделе показаны все облачные приложения, в которых наблюдается файл. Сюда также входят такие сведения, как имена файлов, пользователи, связанные с приложением, количество совпадений с определенной политикой облачных приложений, имена связанных приложений, время последнего изменения файла и путь к файлу.
На вкладке Имена файлов перечислены все имена, которые файл использует в организации.
Примечание
Содержимое файла и представления возможностей зависят от того, проанализировала ли этот файл корпорация Майкрософт.
На вкладке Содержимое файла содержатся сведения о переносимых исполняемых файлах (PE), включая записи процессов, создание процесса, сетевые действия, записи файлов, удаление файлов, операции чтения реестра, записи реестра, строки, импорт и экспорт. На этой вкладке также перечислены все возможности файла.
В представлении возможностей файла перечислены действия файла, сопоставленные с методами MITRE ATT&CK™.
- Просмотр и упорядочение очереди Microsoft Defender для конечной точки
- Управление оповещениями Microsoft Defender для конечной точки
- Изучение оповещений Microsoft Defender для конечной точки
- Изучение устройств в списке устройств Microsoft Defender для конечной точки
- Изучение IP-адреса, связанного с оповещением Microsoft Defender для конечной точки
- Изучение домена, связанного с оповещением Microsoft Defender для конечной точки
- Изучение учетной записи пользователя в Microsoft Defender для конечной точки
- Выполнение действий ответов в файле
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.