Prozkoumání souboru
Platí pro:
- Plán 1 pro Microsoft Defender for Endpoint
- Plán 2 pro Microsoft Defender pro koncový bod
- Microsoft Defender XDR
Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,
Prozkoumejte podrobnosti souboru přidruženého ke konkrétnímu upozornění, chování nebo události, abyste mohli zjistit, jestli soubor vykazuje škodlivé aktivity, identifikovat motivaci k útoku a pochopit potenciální rozsah porušení zabezpečení.
Existuje mnoho způsobů, jak získat přístup k stránce s podrobným profilem konkrétního souboru. Můžete například použít funkci vyhledávání, kliknout na odkaz ze stromu procesu upozornění, grafu incidentu, časové osy artefaktů nebo vybrat událost uvedenou na časové ose zařízení.
Na stránce s podrobným profilem můžete přepínat mezi novým a starým rozložením stránky tak, že přepnete novou stránku Soubor. Zbývající část tohoto článku popisuje novější rozložení stránky.
V zobrazení souborů můžete získat informace z následujících částí:
- Podrobnosti o souboru a metadata PE (pokud existují)
- Incidenty a výstrahy
- Pozorované v organizaci
- Názvy souborů
- Obsah a možnosti souborů (pokud byl soubor analyzován Microsoftem)
Můžete také provést akci se souborem z této stránky.
Akce souborů
Akce souborů jsou nad kartami informací o souborech v horní části stránky profilu. Mezi akce, které tady můžete provést, patří:
- Zastavení a karanténa
- Spravovat indikátor
- Stáhnout soubor
- Zeptejte se odborníků na Defender
- Ruční akce
- Běžte lovit
- Hloubková analýza
Další informace o těchto akcích najdete v tématu Provedení akce odpovědi u souboru .
Přehled stránky souboru
Stránka souboru nabízí přehled podrobností a atributů souboru, incidentů a výstrah, kdy se soubor zobrazuje, použitých názvů souborů, počtu zařízení, kde byl soubor zobrazen za posledních 30 dnů, včetně dat, kdy byl soubor v organizaci první a naposledy vidět, poměr celkové detekce virů. Microsoft Defender detekci antivirové ochrany, počet cloudových aplikací připojených k souboru a rozšíření souboru v zařízeních mimo organizaci.
Poznámka
Různí uživatelé můžou v zařízeních v oddílu organizace na kartě prevalenci souboru vidět odlišné hodnoty. Je to proto, že karta zobrazuje informace na základě oboru řízení přístupu na základě role (RBAC), který má uživatel. To znamená, že pokud je uživateli udělena viditelnost na konkrétní sadě zařízení, uvidí na těchto zařízeních jenom organizační rozšíření souboru.
Incidenty a výstrahy
Karta Incidenty a výstrahy obsahuje seznam incidentů přidružených k souboru a výstrah, se kterými je soubor propojený. Tento seznam obsahuje do značné míry stejné informace jako fronta incidentů. Pokud chcete vybrat, jaký druh informací se zobrazí, vyberte Přizpůsobit sloupce. Seznam můžete také filtrovat tak, že vyberete Filtr.
Pozorované v organizaci
Na kartě Pozorované v organizaci se zobrazí zařízení a cloudové aplikace, které soubor zaznamenal. Historii souborů související se zařízeními je možné zobrazit až za posledních šest měsíců, zatímco historie související s cloudovými aplikacemi je až za posledních 30 dnů.
Zařízení
Tato část ukazuje všechna zařízení, kde je soubor zjištěn. Tato část obsahuje sestavu trendů, která identifikuje počet zařízení, na kterých byl soubor za posledních 30 dnů pozorován. Pod spojnicou trendu najdete podrobné informace o souboru na každém zařízení, kde je vidět, včetně stavu spuštění souboru, prvních a posledních událostí na každém zařízení, zahájení procesu a času a názvů souborů přidružených k zařízení.
Kliknutím na zařízení v seznamu můžete prozkoumat celou šestiměsíční historii souborů na každém zařízení a přejít na první zobrazenou událost na časové ose zařízení.
Cloudové aplikace
Poznámka
Aby bylo možné zobrazit informace o souborech souvisejících s cloudovými aplikacemi, musí být povolená úloha Defender for Cloud Apps.
Tato část ukazuje všechny cloudové aplikace, ve kterých se soubor pozoruje. Obsahuje také informace, jako jsou názvy souborů, uživatelé přidružení k aplikaci, počet shod s konkrétní zásadou cloudové aplikace, názvy přidružených aplikací, čas poslední změny souboru a cesta k souboru.
Názvy souborů
Karta Názvy souborů obsahuje seznam všech názvů, u které jste zjistili, že se soubor používá ve vaší organizaci.
Obsah a možnosti souborů
Poznámka
Obsah souboru a zobrazení možností závisí na tom, jestli Microsoft soubor analyzoval.
Karta Obsah souboru obsahuje informace o přenosných spustitelných souborech (PE), včetně zápisů procesů, vytváření procesů, síťových aktivit, zápisů souborů, odstraňování souborů, čtení z registru, zápisů do registru, řetězců, importů a exportů. Na této kartě jsou také uvedeny všechny možnosti souboru.
Zobrazení možností souboru obsahuje seznam aktivit souboru namapovaných na techniky MITRE ATT&CK™.
Související témata
- Zobrazení a uspořádání fronty Microsoft Defender for Endpoint
- Správa výstrah Microsoft Defender for Endpoint
- Zkoumání výstrah Microsoft Defender for Endpoint
- Prozkoumání zařízení v seznamu zařízení Microsoft Defender for Endpoint
- Prozkoumání IP adresy přidružené k upozornění Microsoft Defender for Endpoint
- Prozkoumání domény přidružené k upozornění na Microsoft Defender for Endpoint
- Prozkoumání uživatelského účtu v Microsoft Defender for Endpoint
- Provádění akcí odezvy na soubor
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro