Vidta svarsåtgärder för en fil

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 2

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Svara snabbt på identifierade attacker genom att stoppa och kvartrända filer eller blockera en fil. När du har åtgärdat filer kan du kontrollera aktivitetsinformationen i Åtgärdscenter.

Svarsåtgärder är tillgängliga på en fils detaljerade profilsida. En gång på den här sidan kan du växla mellan de nya och gamla sidlayouterna genom att växla ny filsida. Resten av den här artikeln beskriver den nyare sidlayouten.

Svarsåtgärder körs överst på filsidan och omfattar:

• Stoppa och placera filen i karantän
• Hantera indikator
• Ladda ned fil
• Samla in fil
• Fråga Defender-experter
• Manuella åtgärder
• Gå på jakt
• Djupanalys

Obs!

Om du använder Defender för Endpoint Plan 1 kan du vidta vissa svarsåtgärder manuellt. Mer information finns i Manuella svarsåtgärder.

Du kan också skicka filer för djupanalys för att köra filen i en säker sandbox-miljö i molnet. När analysen är klar får du en detaljerad rapport som innehåller information om filens beteende. Du kan skicka filer för djupanalys och läsa tidigare rapporter genom att välja åtgärden Djupanalys .

Vissa åtgärder kräver vissa behörigheter. I följande tabell beskrivs vilken åtgärd vissa behörigheter kan vidta för portabla körbara filer (PE) och icke-PE-filer:

Behörighet	PE-filer	Filer som inte är PE-filer
Visa data	X	X
Undersökning av aviseringar	☑	X
Grundläggande svar i realtid	X	X
Avancerat livesvar	☑	☑

Mer information om roller finns i Skapa och hantera roller för rollbaserad åtkomstkontroll.

Viktigt

Microsoft rekommenderar att du använder roller med minst behörighet. Detta bidrar till att förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

Stoppa och sätta filer i karantän i nätverket

Du kan innehålla en attack i din organisation genom att stoppa den skadliga processen och kvarhålla filen där den observerades.

Viktigt

Du kan bara vidta den här åtgärden om:

• Enheten som du vidtar åtgärden på kör Windows 10 version 1703 eller senare, Windows 11 och Windows Server 2012 R2+
• Filen tillhör inte betrodda tredjepartsutgivare eller är inte signerad av Microsoft
• Microsoft Defender Antivirus måste minst köras i passivt läge. Mer information finns i Microsoft Defender Antivirus-kompatibilitet.

Åtgärden Stoppa och karantänfil omfattar att stoppa processer som körs, kvarhålla filerna och ta bort beständiga data, till exempel registernycklar.

Den här åtgärden börjar gälla för enheter med Windows 10 version 1703 eller senare och Windows 11 och Windows Server 2012 R2 eller senare, där filen observerades under de senaste 30 dagarna.

Obs!

Du kommer när som helst att kunna återställa filen från karantänen.

Stoppa och placera filer i karantän

1. Välj den fil som du vill stoppa och placera i karantän. Du kan välja en fil från någon av följande vyer eller använda sökrutan:

   • Aviseringar – välj motsvarande länkar från beskrivningen eller informationen på tidslinjen för aviseringsberättelsen
   • Sökruta – välj Arkiv i den nedrullningsbara menyn och ange filnamnet

   Obs!

   Åtgärden stoppa och placera filen i karantän är begränsad till högst 1 000 enheter. Information om hur du stoppar en fil på ett större antal enheter finns i Lägg till indikator för att blockera eller tillåta fil.

2. Gå till det övre fältet och välj Stoppa och placera filen i karantän.

   

3. Ange en orsak och välj sedan Bekräfta.

   

   Åtgärdscentret visar överföringsinformationen:

   

   • Sändningstid – visar när åtgärden skickades.
   • Lyckades – visar antalet enheter där filen stoppades och sattes i karantän.
   • Misslyckades – visar antalet enheter där åtgärden misslyckades och information om felet.
   • Väntar – visar antalet enheter där filen ännu inte har stoppats och placerats i karantän. Detta kan ta tid för fall då enheten är offline eller inte är ansluten till nätverket.

4. Välj någon av statusindikatorerna för att visa mer information om åtgärden. Välj till exempel Misslyckades för att se var åtgärden misslyckades.

Meddelande om enhetsanvändare

När filen tas bort från en enhet visas följande meddelande:

I enhetens tidslinje läggs en ny händelse till för varje enhet där en fil stoppades och sattes i karantän.

En varning visas innan åtgärden implementeras för filer som används i stor utsträckning i en organisation. Det är för att verifiera att åtgärden är avsedd.

Återställa fil från karantän

Du kan återställa och ta bort en fil från karantänen om du har fastställt att den är ren efter en undersökning. Kör följande kommando på varje enhet där filen sattes i karantän.

1. Öppna en upphöjd kommandotolk på enheten:

   1. Gå till Start och skriv cmd.

   2. Högerklicka på Kommandotolken och välj Kör som administratör.

2. Ange följande kommando och tryck på Retur:

   "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All
   

   Obs!

   I vissa fall kan ThreatName visas som: EUS:Win32/CustomEnterpriseBlock!cl.

   Defender för Endpoint återställer alla anpassade blockerade filer som har placerats i karantän på den här enheten under de senaste 30 dagarna.

Viktigt

En fil som satts i karantän som ett potentiellt nätverkshot kanske inte kan återställas. Om en användare försöker återställa filen efter karantänen kanske filen inte är tillgänglig. Detta kan bero på att systemet inte längre har nätverksautentiseringsuppgifter för att komma åt filen. Detta är vanligtvis ett resultat av en tillfällig inloggning till ett system eller en delad mapp och åtkomsttoken har upphört att gälla.

Ladda ned eller samla in filer

Om du väljer Ladda ned fil från svarsåtgärderna kan du ladda ned ett lokalt, lösenordsskyddat .zip arkiv som innehåller filen. En utfällbar meny visas där du kan registrera en orsak till att ladda ned filen och ange ett lösenord.

Som standard bör du kunna ladda ned filer som befinner sig i karantän.

Knappen Ladda ned fil kan ha följande tillstånd:

• Aktiv – Du kan samla in filen.

• Inaktiverad – Om knappen är nedtonad eller inaktiverad under ett aktivt samlingsförsök kanske du inte har rätt RBAC-behörighet för att samla in filer.

  Följande behörigheter krävs:

  För Microsoft Defender XDR enhetlig rollbaserad åtkomstkontroll (RBAC):

  • Lägg till filsamlingsbehörighet i Microsoft Defender XDR Unified (RBAC)

  För Microsoft Defender för Endpoint rollbaserad åtkomstkontroll (RBAC):

  För bärbar körbar fil (.exe, .sys, .dll och andra)

  • Säkerhetsadministratör eller Avancerat livesvar eller aviseringar

  Körbar fil som inte är bärbar (.txt, .docx och andra)

  • Säkerhetsadministratör eller Avancerat livesvar
  • Klientorganisationer med rbac-behörigheter (rollbaserad åtkomst) aktiverade

Ladda ned filer i karantän

Filer som satts i karantän av Microsoft Defender Antivirus eller ditt säkerhetsteam sparas på ett kompatibelt sätt enligt dina exempelkonfigurationer för insändning. Säkerhetsteamet kan ladda ned filerna direkt från filens informationssida via knappen Ladda ned fil. Den här funktionen är aktiverad som standard.

Platsen beror på organisationens geoinställningar (antingen EU, Storbritannien eller USA). En fil i karantän samlas bara in en gång per organisation. Läs mer om Microsofts dataskydd från Service Trust Portal på https://aka.ms/STP.

Om den här inställningen är aktiverad kan säkerhetsteam undersöka potentiellt felaktiga filer och undersöka incidenter snabbt och på ett mindre riskabelt sätt. Men om du behöver inaktivera den här inställningen går du till Inställningar>Slutpunkter>Avancerade funktioner>Ladda ned filer i karantän för att justera inställningen. Läs mer om avancerade funktioner

Säkerhetskopiera filer i karantän

Användare kan uppmanas att ge uttryckligt medgivande innan de säkerhetskopierar filen i karantän, beroende på din exempelkonfiguration för insändning.

Den här funktionen fungerar inte om exempelöverföring är inaktiverat. Om automatisk sändning av exempel är inställt på att begära behörighet från användaren samlas endast exempel som användaren samtycker till att skicka in.

Viktigt

Ladda ned filkrav i karantän:

• Din organisation använder Microsoft Defender Antivirus i aktivt läge
• Antivirusmotorversionen är 1.1.17300.4 eller senare. Se Månatliga plattforms- och motorversioner
• Molnbaserat skydd är aktiverat. Se Aktivera molnlevererad skydd
• Exempelöverföring är aktiverat
• Enheter har Windows 10 version 1703 eller senare, windows server 2016 eller 2019 eller Windows Server 2022 eller Windows 11

Samla in filer

Om en fil inte redan lagras av Microsoft Defender för Endpoint kan du inte ladda ned den. I stället visas knappen Samla in fil på samma plats.

Knappen Samla in fil kan ha följande tillstånd:

• Aktiv – Du kan samla in filen.

• Inaktiverad – Om knappen är nedtonad eller inaktiverad under ett aktivt samlingsförsök kanske du inte har rätt RBAC-behörighet för att samla in filer.

  Följande behörigheter krävs:

  För bärbar körbar fil (.exe, .sys, .dll och andra)

  • Säkerhetsadministratör eller Avancerat livesvar eller aviseringar

  Körbar fil som inte är bärbar (.txt, .docx och andra)

  • Säkerhetsadministratör eller Avancerat livesvar

Om en fil inte har setts i organisationen under de senaste 30 dagarna inaktiveras Collect-filen .

Viktigt

En fil som satts i karantän som ett potentiellt nätverkshot kanske inte kan återställas. Om en användare försöker återställa filen efter karantänen kanske filen inte är tillgänglig. Detta kan bero på att systemet inte längre har nätverksautentiseringsuppgifter för att komma åt filen. Detta är vanligtvis ett resultat av en tillfällig inloggning till ett system eller en delad mapp och åtkomsttoken har upphört att gälla.

Lägg till indikator för att blockera eller tillåta en fil

Förhindra ytterligare spridning av en attack i din organisation genom att förbjuda potentiellt skadliga filer eller misstänkt skadlig kod. Om du känner till en potentiellt skadlig portabel körbar fil (PE) kan du blockera den. Den här åtgärden förhindrar att den läses, skrivs eller körs på enheter i din organisation.

Viktigt

• Den här funktionen är tillgänglig om din organisation använder Microsoft Defender Antivirus och molnlevererat skydd är aktiverat. Mer information finns i Hantera molnlevererad skydd.

• Klientversionen för program mot skadlig kod måste vara 4.18.1901.x eller senare.

• Den här funktionen är utformad för att förhindra att misstänkt skadlig kod (eller potentiellt skadliga filer) laddas ned från webben. Det stöder för närvarande bärbara körbara filer (PE), inklusive .exe - och .dll-filer . Täckningen kommer att förlängas med tiden.

• Den här svarsåtgärden är tillgänglig för enheter på Windows 10 version 1703 eller senare och Windows 11.

• Funktionen tillåt eller blockera kan inte utföras på filer om filens klassificering finns i enhetens cacheminne innan åtgärden tillåts eller blockeras.

Obs!

PE-filen måste finnas i enhetens tidslinje för att du ska kunna vidta den här åtgärden.

Det kan finnas ett par minuters svarstid mellan den tid då åtgärden vidtas och den faktiska filen blockeras.

Aktivera funktionen för blockeringsfiler

Om du vill börja blockera filer måste du först aktivera funktionen Blockera eller tillåta i Inställningar.

Tillåt eller blockera fil

När du lägger till en indikatorhash för en fil kan du välja att skapa en avisering och blockera filen när en enhet i organisationen försöker köra den.

Filer som blockeras automatiskt av en indikator visas inte i filens Åtgärdscenter, men aviseringarna visas fortfarande i aviseringskön.

Mer information om hur du blockerar och höjer aviseringar för filer finns i Hantera indikatorer .

Om du vill sluta blockera en fil tar du bort indikatorn. Du kan göra det via åtgärden Redigera indikator på filens profilsida. Den här åtgärden visas i samma position som åtgärden Lägg till indikator innan du lägger till indikatorn.

Du kan också redigera indikatorer från sidan Inställningar underRegelindikatorer>. Indikatorer listas i det här området efter filens hash.

Kontrollera aktivitetsinformation i Åtgärdscenter

Åtgärdscentret innehåller information om åtgärder som har vidtagits på en enhet eller fil. Du kan visa följande information:

• Insamling av undersökningspaket
• Antivirusgenomsökning
• Appbegränsning
• Enhetsisolering

All annan relaterad information visas också, till exempel sändningsdatum/tid, sändning av användare och om åtgärden lyckades eller misslyckades.

Djupanalys

Cybersäkerhetsutredningar utlöses vanligtvis av en avisering. Aviseringar är relaterade till en eller flera observerade filer som ofta är nya eller okända. Om du väljer en fil kommer du till filvyn där du kan se filens metadata. Om du vill utöka data som är relaterade till filen kan du skicka filen för djupanalys.

Funktionen Djupanalys kör en fil i en säker, fullständigt instrumenterad molnmiljö. Djupgående analysresultat visar filens aktiviteter, observerade beteenden och associerade artefakter, till exempel borttagna filer, registerändringar och kommunikation med IP-adresser. Djupanalys stöder för närvarande omfattande analys av portabla körbara filer (PE) (inklusive .exe - och .dll-filer ).

Djupgående analys av en fil tar flera minuter. När filanalysen är klar uppdateras fliken Djupanalys för att visa en sammanfattning och datum och tid för de senaste tillgängliga resultaten.

Sammanfattningen av djupanalysen innehåller en lista över observerade beteenden, varav vissa kan tyda på skadlig aktivitet och observerbara filer, inklusive kontaktade IP-adresser och filer som skapats på disken. Om inget hittades visas ett kort meddelande i de här avsnitten.

Resultat av djupanalys matchas mot hotinformation och matchningar genererar lämpliga aviseringar.

Använd funktionen för djupanalys för att undersöka information om en fil, vanligtvis under en undersökning av en avisering eller av någon annan anledning där du misstänker skadligt beteende. Den här funktionen är tillgänglig överst på filens sida. Välj de tre punkterna för att komma åt åtgärden Djupanalys .

Lär dig mer om djupanalys i följande video:

Skicka för djupanalys aktiveras när filen är tillgänglig i Defender för Endpoint-serverdelsexempelsamlingen, eller om den observerades på en Windows 10 enhet som stöder sändning till djupanalys.

Obs!

Endast filer från Windows 10, Windows 11 och Windows Server 2012 R2+ kan samlas in automatiskt.

Du kan också skicka ett exempel via Microsoft Defender-portalen om filen inte har observerats på en Windows 10 enhet (eller Windows 11 eller Windows Server 2012 R2+) och vänta tills knappen Skicka för djupanalys har blivit tillgänglig.

Obs!

På grund av serverdelsbearbetningsflöden i Microsoft Defender-portalen kan det ta upp till 10 minuters svarstid mellan filöverföring och tillgänglighet för djupanalysfunktionen i Defender för Endpoint.

Skicka filer för djupanalys

1. Välj den fil som du vill skicka för djupanalys. Du kan välja eller söka i en fil från någon av följande vyer:

   • Aviseringar – välj fillänkarna från beskrivningen eller informationen på tidslinjen för aviseringsberättelsen
   • Enhetslista – välj fillänkarna i avsnittet Beskrivning eller Information i avsnittet Enhet i organisation
   • Sökruta – välj Arkiv i den nedrullningsbara menyn och ange filnamnet

2. På fliken Djupanalys i filvyn väljer du Skicka.

   

   Obs!

   Endast PE-filer stöds, inklusive .exe - och .dll-filer .

   En förloppsindikator visas och innehåller information om de olika faserna i analysen. Du kan sedan visa rapporten när analysen är klar.

Obs!

Beroende på enhetens tillgänglighet kan insamlingstiden variera. Det finns en tidsgräns på 3 timmar för exempelsamlingen. Samlingen misslyckas och åtgärden avbryts om det inte finns någon online-Windows 10 enhet (eller Windows 11 eller Windows Server 2012 R2+) som rapporterar vid den tidpunkten. Du kan skicka om filer för djupanalys för att hämta nya data i filen.

Visa djupanalysrapporter

Visa den angivna djupanalysrapporten för att se mer djupgående insikter om filen du skickade. Den här funktionen är tillgänglig i filvykontexten.

Du kan visa den omfattande rapporten som innehåller information om följande avsnitt:

• Beteenden
• Observerbara

Informationen kan hjälpa dig att undersöka om det finns tecken på en potentiell attack.

1. Välj den fil som du skickade för djupanalys.

2. Välj fliken Djupanalys . Om det finns några tidigare rapporter visas rapportsammanfattningen på den här fliken.

   

Felsöka djupanalys

Om du stöter på ett problem när du försöker skicka en fil kan du prova vart och ett av följande felsökningssteg.

1. Kontrollera att filen i fråga är en PE-fil. PE-filer har vanligtvis .exe eller .dll tillägg (körbara program eller program).

2. Kontrollera att tjänsten har åtkomst till filen, att den fortfarande finns och inte har skadats eller ändrats.

3. Vänta en stund och försök skicka filen igen. Kön kan vara full eller så uppstod ett tillfälligt anslutnings- eller kommunikationsfel.

4. Om exempelsamlingsprincipen inte har konfigurerats är standardbeteendet att tillåta exempelsamling. Om den är konfigurerad kontrollerar du att principinställningen tillåter exempelsamling innan du skickar filen igen. När exempelsamlingen har konfigurerats kontrollerar du följande registervärde:

   Path: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
   Name: AllowSampleCollection
   Type: DWORD
   Hexadecimal value :
     Value = 0 - block sample collection
     Value = 1 - allow sample collection
   

5. Ändra organisationsenheten via grupprincip. Mer information finns i Konfigurera med grupprincip.

6. Kontakta supporten om de här stegen inte löser problemet.

Relaterade artiklar

• Vidta svarsåtgärder på en enhet
• Undersöka filer
• Manuella svarsåtgärder i Microsoft Defender för Endpoint plan 1

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.