Untersuchen einer Datei
Eine detaillierte Untersuchung von Dateien, die bei einem bestimmten Alarm, aufgrund eines bestimmten Systemverhaltens oder im Rahmen eines Ereignisses relevant sind, kann dabei helfen zu ermitteln, ob die Datei schädliche Aktivitäten unterstützt, die Motivation von Angriffen zu identifizieren und den potentiellen Wirkungsbereich von Verletzungen zu verstehen.
Es gibt verschiedene Methoden für den Zugriff auf die Seite mit dem detaillierten Profil einer bestimmten Datei. Sie können z. B. die Suchfunktion nutzen oder einen Link in der Warnprozessstruktur, im Incidentgraph oder in der Zeitachse für Artefakte bzw. ein Ereignis in der Gerätezeitachse auswählen. Informationen finden Sie in der Dateiansicht in den folgenden Abschnitten:
Dateidetails, Erkennung von Schadsoftware, Dateiverbreitung
Dateidetails, Erkennung von Schadsoftware und Dateiverbreitung
Alerts
Observed in organization
Deep analysis
Dateinamen
Am oberen Rand der Profilseite, oberhalb der Karten mit den Dateiinformationen. Hier können Sie die folgenden Aktionen ausführen:
Beenden und Isolieren von Dateien
Hinzufügen/Bearbeiten eines Indikators
Herunterladen der Datei
Kontaktieren eines Bedrohungsexperten
Info-Center
Seite mit detailliertem Profil
Dateidetails, Erkennung von Schadsoftware und Dateiverbreitung
Auf den Karten für Dateidetails, Incidents, Schadsoftwareerkennung und Dateiverbreitung werden verschiedene Attribute zur Datei angezeigt. Sie sehen Details wie den MD5-Wert der Datei, die Verhältnisangabe für die Virenerkennung, die Microsoft Defender Antivirus-Erkennung (sofern verfügbar) sowie die Dateiverbreitung (sowohl weltweit als auch innerhalb Ihrer Organisation).
Alerts
Auf der Registerkarte „Warnungen“ wird eine Liste mit Warnungen angezeigt, die im Zusammenhang mit der Datei stehen. Diese Liste umfasst im Wesentlichen dieselben Informationen wie die Warteschlange „Warnungen“. Die einzige Ausnahme ist gegebenenfalls die Gerätegruppe, zu der das betroffene Gerät gehört. Über die Option „Spalten anpassen“ in der Symbolleiste oberhalb der Spaltenüberschriften können Sie festlegen, welche Informationen angezeigt werden.
Observed in organization
Auf der Registerkarte „In der Organisation beobachtet“ können Sie einen Datumsbereich angeben, um die Geräte anzuzeigen, die im Zusammenhang mit der Datei beobachtet wurden. Auf dieser Registerkarte werden maximal 100 Geräte angezeigt. Wenn Sie alle Geräte anzeigen möchten, exportieren Sie die Registerkarte in eine CSV-Datei. Wählen Sie dazu im Menü „Aktion“ oberhalb der Spaltenüberschriften der Registerkarte die Option „Exportieren“ aus.
Verwenden Sie den Schieberegler oder die Bereichsauswahl, um im Handumdrehen einen Zeitraum anzugeben, den Sie auf Ereignisse im Zusammenhang mit der Datei überprüfen möchten. Das kleinste zulässige Zeitfenster ist ein Tag. Auf diese Weise können Sie die Anzeige auf Dateien beschränken, die in diesem Zeitraum mit der jeweiligen IP-Adresse kommuniziert haben. So lässt sich der Aufwand für das unnötige Scrollen und Durchsuchen der Liste erheblich reduzieren.
Deep analysis
Auf der Registerkarte „Umfassende Analyse“ können Sie die Datei für eine umfassende Analyse übermitteln, um mehr über das Verhalten der Datei und ihre Auswirkungen innerhalb Ihrer Organisationen zu erfahren. Nachdem Sie die Datei übermittelt haben, wird der Bericht mit der umfassenden Analyse auf dieser Registerkarte angezeigt, sobald die Ergebnisse verfügbar sind. Wenn bei der umfassenden Analyse keine Informationen ermittelt wurden, bleiben der Bericht und der Ergebnisbereich leer.
Dateinamen
Auf der Registerkarte „Dateinamen“ werden alle Namen aufgelistet, die von der Datei in Ihren Organisationen verwendet wurden.
Umfassende Dateianalyse
Untersuchungen zur Internetsicherheit werden in der Regel durch eine Warnung ausgelöst. Warnungen beziehen sich auf eine oder mehrere ermittelte Dateien, die häufig neu oder unbekannt sind. Wenn Sie auf eine Datei klicken, gelangen Sie zur Dateiansicht, in der Sie die Metadaten der Datei sehen. Sie können die Datei für eine umfassende Analyse übermitteln, um die Daten in Bezug auf die Datei zu erweitern.
Die umfassende Analysefunktion führt eine Datei in einer sicheren, vollständig instrumentierten Cloudumgebung aus. Umfassende Analyseergebnisse zeigen die Dateiaktivitäten, beobachtete Verhaltensweisen und zugehörige Artefakte wie gelöschte Dateien, Änderungen der Registrierung und die Kommunikation mit IP-Adressen an. Die umfassende Analyse unterstützt zurzeit eine umfassende Analyse von portierbaren ausführbaren Dateien (einschließlich EXE- und DLL-Dateien).
Die umfassende Analyse einer Datei dauert mehrere Minuten. Nach Abschluss der Dateianalyse wird die Registerkarte „Umfassende Analyse“ mit dem Datum und der Uhrzeit der aktuellen Ergebnisse sowie mit einer Zusammenfassung des Berichts aktualisiert.
Die Zusammenfassung der umfassenden Analyse zeigt eine Liste des beobachteten Verhaltens. Dazu zählen gegebenenfalls böswillige Aktivitäten und Observables wie kontaktierte IP-Adressen und Dateien, die auf dem Datenträger erstellt wurden. Wenn keine Vorgänge ermittelt werden, wird in diesen Abschnitten eine kurze Meldung angezeigt.
Die Ergebnisse der umfassenden Analyse werden mit Threat Intelligence-Daten abgeglichen, und bei entsprechenden Übereinstimmungen werden die jeweiligen Warnungen ausgegeben.
Verwenden Sie die umfassende Analyse, um Details einer Datei zu untersuchen. Dies erfolgt in der Regel während der Untersuchung einer Warnung oder wenn Sie aus einem anderen Grund ein schädliches Verhalten vermuten. Diese Funktion ist auf der Registerkarte „Umfassende Analyse“ auf der Profilseite der Datei verfügbar.
Die Option zur Übermittlung für eine umfassende Analyse ist aktiviert, wenn die Datei in der Back-End-Beispielsammlung von Defender für Endpunkt verfügbar ist oder auf einem Windows 10-Gerät beobachtet wurde, das eine Übermittlung zur umfassenden Analyse unterstützt. Wenn die Datei nicht auf einem Windows 10-Gerät beobachtet wurde, können Sie auch manuell eine Stichprobe über das Microsoft Security Center-Portal senden. Warten Sie dann, bis die Schaltfläche „Für die umfassende Analyse übermitteln“ verfügbar ist.
Wenn das Beispiel erfasst wurde, führt Defender für Endpunkt die Datei in einer sicheren Umgebung aus und erstellt einen detaillierten Bericht über das beobachtete Verhalten sowie die zugehörigen Artefakte (z. B. Dateien, die auf Geräten gelöscht wurden, Kommunikation mit IP-Adressen und Registrierungsänderungen).
Übermitteln von Dateien für die umfassende Analyse:
Wählen Sie die Datei aus, die Sie für die umfassende Analyse übermitteln möchten. Sie können eine Datei aus den folgenden Ansichten auswählen oder darin suchen:
Warnungen: Wählen Sie die Dateilinks unter „Beschreibung“ oder „Details“ in der Artefaktzeitachse aus.
Geräteliste: Wählen Sie die Dateilinks unter „Beschreibung“ oder „Details“ im Abschnitt zu den Geräten in der Organisation aus.
Suchfeld: Wählen Sie im Dropdownmenü die Option „Datei“ aus, und geben Sie den Dateinamen ein.
Wählen Sie auf der Registerkarte „Umfassende Analyse“ der Dateiansicht die Option „Senden“ aus.
Es werden nur portierbare ausführbare Dateien unterstützt (einschließlich .exe- und .dll-Dateien). Eine Statusleiste wird angezeigt. Diese enthält Informationen zu den verschiedenen Phasen der Analyse. Wenn die Analyse abgeschlossen ist, können Sie den Bericht anzeigen.
Anzeigen der Berichte zur umfassenden Analyse
Zeigen Sie den Bericht der umfassenden Analyse von Defender für Endpunkt an, um die Details der umfassenden Analyse zu untersuchen, die für Ihre eingereichte Datei durchgeführt wurde. Dieses Feature ist in der Dateiansicht verfügbar.
Sie können den umfassenden Bericht mit Details zu den folgenden Abschnitten anzeigen:
Verhalten
IObservables
Mithilfe der darin enthaltenen Informationen können Sie untersuchen, ob Hinweise auf einen möglichen Angriff vorliegen.
Wählen Sie die Datei aus, die Sie für die umfassende Analyse übermittelt haben.
Wählen Sie die Registerkarte „Deep analysis“ (Umfassende Analyse) aus. Sollten vorherige Berichte vorhanden sein, wird die Berichtzusammenfassung auf dieser Registerkarte angezeigt.
Problembehandlung bei der umfassenden Analyse
Wenn beim Übermitteln einer Datei ein Problem auftritt, führen Sie die folgenden Schritte zur Problembehandlung aus.
Stellen Sie sicher, dass es sich bei der Datei um eine portierbare ausführbare Datei handelt. PE-Dateien verfügen in der Regel über die Erweiterung .exe oder .dll (ausführbare Programme oder Anwendungen).
Stellen Sie sicher, dass der Dienst Zugriff auf die Datei hat, dass diese noch immer vorhanden ist und nicht beschädigt oder geändert wurde.
Falls die Warteschlange voll ist oder ein vorübergehender Verbindungs- oder Kommunikationsfehler aufgetreten ist, können Sie kurz warten und erneut versuchen, die Datei zu übermitteln.
Wenn die Beispielsammlungsrichtlinie nicht konfiguriert ist, wird das Sammeln von Beispielen standardmäßig erlaubt. Falls diese Richtlinie konfiguriert ist, überprüfen Sie, ob das Sammeln von Beispielen erlaubt ist, bevor Sie die Datei noch einmal übermitteln. Wenn die Beispielsammlung konfiguriert ist, überprüfen Sie den folgenden Registrierungswert:
Pfad: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
Name: AllowSampleCollection
Typ: DWORD
Hexadezimalwert:
Wert = 0 – Beispielsammlung blockieren
Wert = 1 – Beispielsammlung zulassen
Ändern Sie die Organisationseinheit über die Gruppenrichtlinie.
Antwortaktionen für Dateien
Reagieren Sie schnell auf erkannte Angriffe, indem Sie Dateien beenden und unter Quarantäne stellen oder blockieren. Nachdem Sie Aktionen für Dateien ausgeführt haben, können Sie die Aktivitätsdetails im Info-Center überprüfen. Antwortaktionen sind auf der Seite mit dem detaillierten Profil einer Datei verfügbar.
Antwortaktionen werden im oberen Bereich der Dateiseite angezeigt und umfassen folgende Vorgänge:
Beenden und Isolieren von Dateien
Hinzufügen eines Indikators
Herunterladen der Datei
Info-Center
Beenden und Isolieren von Dateien
Sie können die Auswirkungen eines Angriffs in Ihrer Organisation minimieren, indem Sie den böswilligen Prozess beenden und die Datei dort unter Quarantäne stellen, wo sie beobachtet wurde.
Sie können diese Maßnahme nur in folgenden Szenarien ergreifen:
Auf dem Gerät, auf dem Sie die Maßnahme ergreifen, wird Windows 10, Version 1703 oder höher, ausgeführt.
Die Datei gehört keinem vertrauenswürdigen Drittanbieterherausgeber oder ist nicht von Microsoft signiert.
Microsoft Defender Antivirus muss mindestens im passiven Modus ausgeführt werden.
Die Aktion zum Beenden und Isolieren von Dateien umfasst das Beenden ausgeführter Prozesse, das Isolieren der Dateien und das Löschen von persistenten Daten (z. B. Registrierungsschlüssel). Diese Aktion ist auf maximal 1.000 Geräte beschränkt. Informationen zum Beenden einer Datei bei einer größeren Anzahl von Geräten finden Sie im Abschnitt zum Hinzufügen eines Indikators, um Dateien zu blockieren oder zuzulassen.
Beenden und Isolieren von Dateien
Wählen Sie die Datei aus, die Sie beenden und unter Quarantäne stellen möchten. Sie können eine Datei aus einer der folgenden Ansichten oder mithilfe des Suchfelds auswählen:
Warnungen: Wählen Sie die entsprechenden Links unter „Beschreibung“ oder „Details“ in der Artefaktzeitachse aus.
Suchfeld – Wählen Sie im Einblendmenü die Option Datei, und geben Sie den Dateinamen ein.
Wählen Sie in der oberen Leiste Datei beenden und isolieren aus.
Geben Sie einen Grund an, und wählen Sie dann Bestätigen aus.
Im Info-Center werden die Informationen zur Übermittlung angezeigt:
- Submission time - Shows when the action was submitted.
- Success - Shows the number of devices where the file has been stopped and quarantined.
- Failed - Shows the number of devices where the action failed and details about the failure.
- Pending - Shows the number of devices where the file is yet to be stopped and quarantined from. This can take time for cases when the device is offline or not connected to the network.
Wählen Sie einen der Statusindikatoren aus, um weitere Informationen zur Aktion anzuzeigen. Wählen Sie z. B. „Fehler“ aus, um zu sehen, wo der Fehler aufgetreten ist. Wenn die Datei von einem Gerät entfernt wird, erhält der Benutzer eine entsprechende Benachrichtigung.
In der Gerätezeitachse wird für jedes Gerät ein neues Ereignis hinzugefügt, das Auskunft darüber gibt, wo eine Datei beendet und isoliert wurde. Für Dateien, die innerhalb einer Organisation viel verwendet werden, wird eine Warnung angezeigt, bevor die Aktion ausgeführt wird. Dadurch wird sichergestellt, dass der Vorgang tatsächlich ausgeführt werden soll.
Wiederherstellen aus der Dateiquarantäne
Wenn Sie bei der Untersuchung feststellen, dass die Datei keine Probleme verursacht, können Sie ein Rollback durchführen und die Datei aus der Quarantäne entfernen. Führen Sie den folgenden Befehl auf jedem Gerät aus, auf dem die Datei unter Quarantäne gestellt wurde.
Öffnen Sie auf dem Gerät eine Eingabeaufforderung mit erhöhten Rechten:
Navigieren Sie zu Start, und geben Sie cmd ein.
Klicken Sie mit der rechten Maustaste auf „Eingabeaufforderung“, und wählen Sie Als Administrator ausführen aus.
Geben Sie den folgenden Befehl ein, und drücken Sie die Eingabetaste:
“%ProgramFiles%\Windows Defender\MpCmdRun.exe” –Restore –Name EUS:Win32/CustomEnterpriseBlock –All
Hinzufügen eines Indikators zum Blockieren oder Zulassen einer Datei
Sie können die weitere Ausbreitung von Angriffen in Ihrer Organisation verhindern, indem Sie potenziell schädliche Dateien oder mutmaßliche Schadsoftware blockieren. Wenn Sie eine potenziell schädliche portierbare ausführbare Datei erkennen, können Sie die Datei blockieren. Dieser Vorgang verhindert, dass sie auf Geräten in Ihrer Organisation gelesen, geschrieben oder ausgeführt werden kann.
Aktivieren der Funktion zum Blockieren von Dateien
Um mit dem Blockieren von Dateien zu beginnen, müssen Sie zunächst das Feature „Blockieren“ oder „Zulassen“ in den Einstellungen aktivieren.
Zulassen oder Blockieren von Dateien
Wenn Sie einen Indikatorhash für eine Datei hinzufügen, können Sie eine Warnung auslösen und die Datei blockieren, sobald ein Gerät in Ihrer Organisation versucht, sie auszuführen. Dateien, die automatisch durch einen Indikator blockiert werden, werden nicht im Info-Center der Datei angezeigt. In der Warteschlange für Warnungen sind sie jedoch weiterhin sichtbar. Weitere Informationen zum Blockieren und Auslösen von Warnungen für Dateien finden Sie im Abschnitt zum Verwalten von Indikatoren. Um das Blockieren von Dateien zu beenden, entfernen Sie den Indikator. Dazu können Sie die Aktion „Indikator bearbeiten“ auf der Profilseite der Datei ausführen. Diese Aktion befindet sich an derselben Position wie die Option Indikator hinzufügen, bevor der Indikator hinzugefügt wurde. Sie können Indikatoren auch auf der Seite „Einstellungen“ unter „Regeln“ > „Indikatoren“ bearbeiten. Indikatoren werden in diesem Bereich nach dem Hash der zugehörigen Datei aufgeführt.
Herunterladen der Datei
Wenn Sie bei den Antwortaktionen die Option zum Herunterladen der Datei auswählen, können Sie ein lokales, kennwortgeschütztes ZIP-Archiv mit Ihrer Datei herunterladen. Bei Auswahl dieser Aktion wird ein Flyout angezeigt. Über dieses Flyout können Sie einen Grund angeben, weshalb Sie die Datei herunterladen. Sie können auch ein Kennwort festlegen, das zum Öffnen der Datei eingegeben werden muss. Wenn eine Datei noch nicht von Defender für Endpunkt gespeichert wurde, können Sie sie nicht herunterladen. Stattdessen wird an derselben Position die Schaltfläche „Datei sammeln“ angezeigt. Wenn eine Datei in den letzten 30 Tagen nicht in der Organisation angezeigt wurde, ist diese Schaltfläche deaktiviert.
Überprüfen der Aktivitätsdetails im Info-Center
Im Info-Center finden Sie Informationen zu Aktionen, die für ein Gerät oder eine Datei ausgeführt wurden. Sie können die folgenden Details anzeigen:
Untersuchungspaketsammlung
Antivirenüberprüfung
App-Beschränkung
Geräteisolierung
Darüber hinaus werden alle weiteren zugehörigen Details angezeigt. Dazu zählen z. B. das Datum und die Uhrzeit der Übermittlung, der übermittelnde Benutzer und eine Angabe dazu, ob die Aktion erfolgreich ausgeführt wurde oder nicht.