调查文件

适用于：

• Microsoft Defender for Endpoint 计划 1
• Microsoft Defender for Endpoint 计划 2
• Microsoft Defender XDR

希望体验 Defender for Endpoint？ 注册免费试用版。

调查与特定警报、行为或事件关联的文件的详细信息，以帮助确定该文件是否存在恶意活动、识别攻击动机并了解违规的潜在范围。

可通过多种方式访问特定文件的详细配置文件页。 例如，可以使用搜索功能，单击警报进程树、事件图、项目时间线中的链接，或选择设备时间线中列出的事件。

进入详细配置文件页后，可以通过切换新的 “文件”页在新的和旧的页面布局之间切换。 本文的其余部分介绍较新的页面布局。

可以从文件视图中的以下部分获取信息：

• 文件详细信息和 PE 元数据 (（如果存在) ）
• 事件和警报
• 在组织中观察到
• 文件名
• 如果 Microsoft) 已分析文件， (文件内容和功能

还可以从此页面对文件执行操作。

文件操作

文件操作位于配置文件页顶部的文件信息卡上方。 可在此处执行的操作包括：

• 停止和隔离
• 管理指示器
• 下载文件
• 咨询 Defender 专家
• 手动操作
• 转到查寻
• 深度分析

有关这些 操作的详细信息，请参阅对文件执行响应 操作。

文件页概述

文件页面概述了文件的详细信息和属性、看到该文件的事件和警报、使用的文件名、过去 30 天内看到该文件的设备数，包括首次和最后一次在组织中看到该文件的日期、病毒总数检测比率、 Microsoft Defender防病毒检测、连接到文件的云应用数，以及文件在组织外部设备中的流行程度。

注意

不同的用户可能会在文件流行率卡的组织设备部分中看到不同的值。 这是因为卡显示基于基于角色的访问控制 (用户具有的 RBAC) 范围的信息。 这意味着，如果用户已获得对一组特定设备的可见性，则他们只会看到这些设备上的文件组织流行情况。

事件和警报

“ 事件和警报 ”选项卡提供与文件关联的事件列表，以及该文件链接到的警报。 此列表涵盖与事件队列相同的大部分信息。 可以通过选择“ 自定义列”来选择显示的信息类型。 还可以通过选择“筛选器”来 筛选列表。

在组织中观察到

“ 在组织中观察到 ”选项卡显示使用 文件观察到的设备和云应用。 与设备相关的文件历史记录最多可以显示过去 6 个月，而与云应用相关的历史记录最长为过去 30 天

设备

本部分显示检测到文件的所有设备。 该部分包括一个趋势报告，标识过去 30 天内观察到该文件的设备数。 在趋势线下方，可以找到有关每个设备上文件的详细信息，包括文件执行状态、每个设备上的首次和最后一次看到事件、启动进程和时间以及与设备关联的文件名。

可以单击列表中的设备，浏览每台设备上完整的六个月文件历史记录，并透视到设备时间线中第一个看到的事件。

云应用

注意

必须启用 Defender for Cloud Apps 工作负载才能查看与云应用相关的文件信息。

本部分显示观察到文件的所有云应用程序。 它还包括文件的名称、与应用关联的用户、与特定云应用策略的匹配项数、关联应用的名称、上次修改文件时间以及文件路径等信息。

文件名

“ 文件名 ”选项卡列出了组织内观察到该文件要使用的所有名称。

文件内容和功能

注意

文件内容和功能视图取决于 Microsoft 是否分析了该文件。

“文件内容”选项卡列出了有关可移植可执行文件 (PE) 文件的信息，包括进程写入、进程创建、网络活动、文件写入、文件删除、注册表读取、注册表写入、字符串、导入和导出。 此选项卡还列出了文件的所有功能。

文件功能视图列出了映射到 MITRE ATT&CK™ 技术的文件活动。

相关主题

• 查看和组织Microsoft Defender for Endpoint队列
• 管理Microsoft Defender for Endpoint警报
• 调查Microsoft Defender for Endpoint警报
• 调查“Microsoft Defender for Endpoint设备”列表中的设备
• 调查与Microsoft Defender for Endpoint警报关联的 IP 地址
• 调查与Microsoft Defender for Endpoint警报关联的域
• 在 Microsoft Defender for Endpoint 中调查用户帐户
• 对文件执行响应操作

提示

想要了解更多信息？ Engage技术社区中的 Microsoft 安全社区：Microsoft Defender for Endpoint技术社区。