Investigar un archivo asociado a una alerta de ATP de Microsoft defender

Se aplica a:

¿Quiere experimentar ATP de Microsoft defender? Regístrate para obtener una evaluación gratuita.

Investiga los detalles de un archivo asociado a una alerta, un comportamiento o un evento específicos para tratar de determinar si el archivo muestra actividades malintencionadas, identificar la motivación del ataque y comprender el posible alcance de la infracción.

Puedes investigar archivos mediante la función de búsqueda, haciendo clic en un vínculo del Árbol del proceso de alerta, Gráfico incidente, Línea de tiempo de artefacto, o desde un evento enumerado en la Línea de tiempo de máquina.

Puedes obtener información de las siguientes secciones en la vista de archivos:

  • Detalles del archivo, Malware detection, Prevalence worldwide
  • Deep analysis
  • Alerts related to this file
  • File in organization
  • Most recent observed machines with file

Archivo en todo el mundo y análisis detallado

Las secciones de detalles del archivo, detección de malware y prevalencia en todo el mundo muestran varios atributos sobre el archivo. Verás las acciones que puedes realizar en el archivo. Para obtener más información sobre cómo realizar una acción en un archivo, consulta Realizar acciones de respuesta en un archivo.

Verás detalles, como el MD5 del archivo, la relación de detección de VirusTotal y la detección del Antivirus de Windows Defender, si está disponible y prevalencia del archivo en todo el mundo. También podrás enviar un archivo para un análisis detallado.

Imagen de información del archivo

La sección Alerts related to this file ofrece una lista de las alertas que están asociadas con el archivo. Esta lista es una versión simplificada de Alerts queue y muestra la fecha en que se detectó la última actividad, una breve descripción de la alerta, el usuario asociado con la alerta, la gravedad de la alerta, el estado de la alerta en la cola y quién se encarga de la alerta.

Imagen de alertas relacionadas con la sección de archivo

File in organization

La sección File in organization proporciona detalles sobre la prevalencia del archivo, la prevalencia en bandejas de entrada de correos y el nombre observado en la organización.

Imagen del archivo en la organización

Máquinas observadas más recientes con el archivo

La sección Most recent observed machines with the file te permite especificar un intervalo de fechas para ver en qué máquinas se ha observado el archivo.

Imagen de la máquina observada más reciente con el archivo

Esto permite una mayor precisión en la definición de entidades para mostrar; por ejemplo, si se ha observado una entidad en la organización y cuándo. Por ejemplo, si intentas detectar el origen de una comunicación de red para una determinada dirección IP en un período de 10 minutos en una fecha determinada, puedes especificar ese intervalo de tiempo exacto y ver únicamente los archivos que se comunicaron con esa dirección IP en ese momento, lo que reduce drásticamente los desplazamientos y las búsquedas innecesarios.

Temas relacionados