Jaa

Vastaustoimintoihin ryhtyminen tiedostossa

  • Artikkeli

Koskee seuraavia:

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Reagoi nopeasti havaittuihin hyökkäyksiin pysäyttämällä ja rajoittamalla tiedostoja tai estämällä tiedosto. Kun olet ottanut tiedostot käyttöön, voit tarkistaa toiminnan tiedot toimintokeskuksessa.

Vastaustoiminnot ovat käytettävissä tiedoston yksityiskohtaisessa profiilisivussa. Kun olet tällä sivulla, voit vaihtaa uuden ja vanhan sivun asettelun välillä vaihtamalla uuden tiedostosivun. Tämän artikkelin loppuosassa kuvataan uudempaa sivun asettelua.

Vastaustoiminnot suoritetaan tiedostosivun yläreunassa, ja ne sisältävät seuraavat:

  • Pysäytä tiedosto ja aseta se karanteeniin
  • Ilmaisimen hallinta
  • Lataa tiedosto
  • Kerää tiedosto
  • Kysy Defenderin asiantuntijoilta
  • Manuaaliset toiminnot
  • Mene metsästämään
  • Syväanalyysi

Huomautus

Jos käytät Defender for Endpoint -palvelupakettia 1, voit suorittaa tiettyjä vastaustoimintoja manuaalisesti. Lisätietoja on artikkelissa Manuaaliset vastaustoiminnot.

Voit myös lähettää tiedostoja syväanalyysia varten suorittaaksesi tiedoston turvallisessa pilvi eristyksessä. Kun analyysi on valmis, saat yksityiskohtaisen raportin, joka sisältää tietoja tiedoston toiminnasta. Voit lähettää tiedostoja syväanalyysia varten ja lukea aiempia raportteja valitsemalla Syväanalyysi-toiminnon .

Jotkin toiminnot edellyttävät tiettyjä käyttöoikeuksia. Seuraavassa taulukossa kuvataan, mitä toimia tietyt käyttöoikeudet voivat suorittaa kannettavissa tiedostoissa (PE) ja muissa kuin PE-tiedostoissa:

Lupaa PE-tiedostot Muut kuin PE-tiedostot
Näytä tiedot X X
Ilmoitusten tutkiminen X
Live-vastauksen perustiedot X X
Reaaliaikaisen vastauksen lisäasetukset

Saat lisätietoja rooleista artikkelista Roolipohjaisen käytön hallinnan roolien Create ja hallinta.

Pysäytä ja aseta tiedostot karanteeniin verkossasi

Voit sisältää hyökkäyksen organisaatiossasi pysäyttämällä vahingollisen prosessin ja rajoittamalla tiedoston, jossa se havaittiin.

Tärkeää

Voit tehdä tämän toiminnon vain seuraavissa toiminnoissa:

  • Laitteessa, jossa olet suorittamassa toimintoa, on käytössä Windows 10, versio 1703 tai uudempi, Windows 11 ja Windows Server 2012 R2+
  • Tiedosto ei kuulu luotettujen kolmannen osapuolen julkaisijoiden joukkoon, tai Microsoft ei ole allekirjoittanut tiedostoa
  • Microsoft Defender virustentorjuntaohjelman on oltava käynnissä vähintään passiivitilassa. Lisätietoja on artikkelissa Microsoft Defender virustentorjuntaohjelman yhteensopivuus.

Stop- ja Quarantine File -toiminto sisältää käynnissä olevien prosessien lopettamisen, tiedostojen kvantinoinnin ja pysyvien tietojen, kuten rekisteriavainten, poistamisen.

Tämä toiminto tulee voimaan laitteissa, joissa on Windows 10 versio 1703 tai uudempi versio sekä Windows 11 ja Server 2012 R2+, jossa tiedosto havaittiin viimeisten 30 päivän aikana.

Huomautus

Voit palauttaa tiedoston karanteenista milloin tahansa.

Pysäytys- ja karanteenitiedostot

  1. Valitse tiedosto, jonka haluat pysäyttää ja asettaa karanteeniin. Voit valita tiedoston mistä tahansa seuraavista näkymistä tai käyttää Haku-ruutua:

    • Ilmoitukset – valitse vastaavat linkit Ilmoituksen tarinan aikajanan Kuvauksesta tai Tiedot-kohdasta
    • Haku ruutu - valitse tiedosto avattavasta valikosta ja anna tiedostonimi

    Huomautus

    Pysäytys- ja karanteenitiedostotoiminto on rajoitettu enintään 1 000 laitteeseen. Jos haluat pysäyttää tiedoston suuremmalla määrällä laitteita, katso Lisää ilmaisin estämään tai sallimaan tiedosto.

  2. Siirry yläpalkkiin ja valitse Pysäytä ja karanteenitiedosto.

    Pysäytys- ja karanteenitiedostotoiminto

  3. Määritä syy ja valitse sitten Vahvista.

    Pysäytys- ja karanteenitiedostosivu

    Toimintokeskus näyttää lähetystiedot:

    Pysäytys- ja karanteenitiedoston toimintokeskus

    • Lähetysaika – Näyttää toiminnon lähetysajankohdan.
    • Success – Näyttää niiden laitteiden määrän, joissa tiedosto on pysäytetty ja asetettu karanteeniin.
    • Epäonnistui – Näyttää niiden laitteiden määrän, joissa toiminto epäonnistui, ja tietoja virheestä.
    • Odottaa – Näyttää niiden laitteiden määrän, joista tiedostoa ei ole vielä pysäytetty ja asetettu karanteeniin. Tämä voi kestää jonkin aikaa tapauksissa, joissa laite on offline-tilassa tai ei ole yhteydessä verkkoon.

  4. Valitse jokin tilailmaisimista, jos haluat tarkastella lisätietoja toiminnosta. Valitse esimerkiksi Epäonnistunut , jos haluat nähdä, missä toiminto epäonnistui.

Ilmoitus laitteen käyttäjälle

Kun tiedostoa poistetaan laitteesta, näyttöön tulee seuraava ilmoitus:

Ilmoitus laitteen käyttäjälle

Laitteen aikajanaan lisätään uusi tapahtuma jokaiselle laitteelle, jossa tiedosto pysäytettiin ja asetettiin karanteeniin.

Varoitus näytetään, ennen kuin toiminto otetaan käyttöön tiedostoissa, joita käytetään laajalti koko organisaatiossa. Se vahvistaa, että toiminto on tarkoitettu.

Palauta tiedosto karanteenista

Voit peruuttaa ja poistaa tiedoston karanteenista, jos olet todennut, että se on puhdas tutkinnan jälkeen. Suorita seuraava komento jokaisessa laitteessa, jossa tiedosto on karanteenissa.

  1. Avaa laajennetun komentorivikehotteen laitteessa:

    1. Siirry Aloitus-kohtaan ja kirjoita cmd.

    2. Napsauta komentoriviä hiiren kakkospainikkeella ja valitse Suorita järjestelmänvalvojana.

  2. Kirjoita seuraava komento ja paina Enter-näppäintä:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All

    Huomautus

    Joissakin tilanteissa ThreatName saattaa näkyä muodossa: EUS:Win32/CustomEnterpriseBlock!cl.

    Defender for Endpoint palauttaa kaikki mukautetut estetyt tiedostot, jotka on asetettu karanteeniin tässä laitteessa viimeisten 30 päivän aikana.

Tärkeää

Tiedosto, joka on asetettu karanteeniin mahdollisena verkkouhkana, ei ehkä ole palautettavissa. Jos käyttäjä yrittää palauttaa tiedoston karanteenin jälkeen, tiedostoa ei ehkä voi käyttää. Tämä voi johtua siitä, että järjestelmällä ei ole enää verkon tunnistetietoja tiedoston käyttämiseksi. Yleensä tämä on seurausta väliaikaisesta kirjautumisesta järjestelmään tai jaettuun kansioon ja käyttöoikeustietueet ovat vanhentuneet.

Lataa tai kerää tiedosto

Valitsemalla Vastaustoiminnoista Lataa tiedosto voit ladata tiedoston sisältävän paikallisen salasanalla suojatun .zip arkiston. Näyttöön tulee pikaikkuna, johon voit tallentaa tiedoston lataamisen syyn ja määrittää salasanan.

Oletusarvon mukaan sinun pitäisi pystyä lataamaan karanteenissa olevia tiedostoja.

Lataa tiedosto -painikkeessa voi olla seuraavat tilat:

  • Aktiivinen – Voit kerätä tiedoston.

  • Poistettu käytöstä – Jos painike näkyy harmaana tai poistettu käytöstä aktiivisen kokoelmayrityksen aikana, sinulla ei ehkä ole tarvittavia RBAC-käyttöoikeuksia tiedostojen keräämiseen.

    Seuraavat oikeudet vaaditaan:

    Microsoft Defender XDR Yhdistetty roolipohjainen käyttöoikeuksien hallinta (RBAC):

    • Lisää tiedostokokoelman käyttöoikeus Microsoft Defender XDR Unified (RBAC) -sovelluksessa

    Roolipohjaisen Microsoft Defender for Endpoint käyttöoikeuksien valvonta (RBAC):

    Portable Executable -tiedostolle (.exe, .sys, .dll ja muille)

    • Yleinen järjestelmänvalvoja tai edistynyt reaaliaikainen vastaus tai ilmoitukset

    Ei-kannettava suoritettava tiedosto (.txt, .docx ja muut)

Lataa tiedosto -toiminto

Lataa karanteeniin asetettuja tiedostoja

Tiedostot, jotka Microsoft Defender virustentorjuntaohjelma tai tietoturvaryhmä on asettanut karanteeniin, tallennetaan yhteensopivalla tavalla mallisi lähetysmääritysten mukaisesti. Suojaustiimisi voi ladata tiedostot suoraan tiedoston tietosivulta Lataa tiedosto -painikkeella. Tämä ominaisuus on oletusarvoisesti käytössä.

Sijainti määräytyy organisaatiosi maantieteellisten asetusten mukaan (joko EU, Yhdistynyt kuningaskunta tai Yhdysvallat). Karanteeniin asetettu tiedosto kerätään vain kerran organisaatiota kohden. Lue lisää Microsoftin tietosuojasta Service Trust Portalista osoitteesta https://aka.ms/STP.

Tämän asetuksen ottaminen käyttöön voi auttaa suojausryhmiä tutkimaan mahdollisesti huonoja tiedostoja ja tutkimaan tapauksia nopeasti ja vähemmän riskialttiilla tavalla. Jos kuitenkin haluat poistaa tämän asetuksen käytöstä, säädä asetusta valitsemalla Asetukset>PäätepisteetLisäominaisuudet>>Lataa karanteeniin asetettuja tiedostoja. Lisätietoja lisäominaisuuksista

Varmuuskopioidaan karanteeniin asetettuja tiedostoja

Käyttäjiä voidaan pyytää antamaan nimenomainen suostumus ennen karanteeniin asetetun tiedoston varmuuskopioimista sen mukaan, mikä on mallisi lähetysmäärityksestä.

Tämä ominaisuus ei toimi, jos mallin lähettäminen on poistettu käytöstä. Jos automaattinen mallin lähettäminen on määritetty pyytämään käyttöoikeutta käyttäjältä, kerätään vain näytteet, jotka käyttäjä hyväksyy lähettävän.

Tärkeää

Lataa karanteeniin asetettujen tiedostojen vaatimukset:

Tiedostojen kerääminen

Jos Microsoft Defender for Endpoint ei ole jo tallentanut tiedostoa, et voi ladata sitä. Näet sen sijaan Kerää tiedosto -painikkeen samassa sijainnissa.

Kerää tiedosto -painikkeessa voi olla seuraavat tilat:

  • Aktiivinen – Voit kerätä tiedoston.

  • Poistettu käytöstä – Jos painike näkyy harmaana tai poistettu käytöstä aktiivisen kokoelmayrityksen aikana, sinulla ei ehkä ole tarvittavia RBAC-käyttöoikeuksia tiedostojen keräämiseen.

    Seuraavat oikeudet vaaditaan:

    Portable Executable -tiedostolle (.exe, .sys, .dll ja muille)

    • Yleinen järjestelmänvalvoja tai edistynyt reaaliaikainen vastaus tai ilmoitukset

    Ei-kannettava suoritettava tiedosto (.txt, .docx ja muut)

    • Yleinen järjestelmänvalvoja tai edistynyt reaaliaikainen vastaus

Jos tiedostoa ei ole nähty organisaatiossa viimeisten 30 päivän aikana, Collect-tiedosto poistetaan käytöstä.

Tärkeää

Tiedosto, joka on asetettu karanteeniin mahdollisena verkkouhkana, ei ehkä ole palautettavissa. Jos käyttäjä yrittää palauttaa tiedoston karanteenin jälkeen, tiedostoa ei ehkä voi käyttää. Tämä voi johtua siitä, että järjestelmällä ei ole enää verkon tunnistetietoja tiedoston käyttämiseksi. Yleensä tämä on seurausta väliaikaisesta kirjautumisesta järjestelmään tai jaettuun kansioon ja käyttöoikeustietueet ovat vanhentuneet.

Lisää ilmaisin tiedoston estämiseksi tai sallimiseksi

Estä hyökkäyksen leviäminen organisaatioosi kieltämällä mahdollisesti haitalliset tiedostot tai epäillyt haittaohjelmat. Jos tiedät mahdollisesti haitallisen kannettavan suoritettavan tiedoston (PE), voit estää sen. Tämä toiminto estää sen lukemisen, kirjoittamisen tai suorittamisen organisaatiosi laitteissa.

Tärkeää

  • Tämä ominaisuus on käytettävissä, jos organisaatiosi käyttää Microsoft Defender virustentorjunta ja pilvipalveluun toimitettu suojaus on käytössä. Lisätietoja on kohdassa Pilvipalveluun toimitetun suojauksen hallinta.

  • Haittaohjelmien torjunta-asiakasversion on oltava 4.18.1901.x tai uudempi.

  • Tämä ominaisuus on suunniteltu estämään haittaohjelmien (tai mahdollisesti haitallisten tiedostojen) lataaminen verkosta. Se tukee tällä hetkellä kannettavia suoritettavaa tiedostoa (PE), mukaan lukien .exe - ja .dll tiedostoja. Kattavuutta pidennetään ajan kuluessa.

  • Tämä vastaustoiminto on käytettävissä laitteissa, joissa on Windows 10 versio 1703 tai uudempi versio, ja Windows 11.

  • Allow- tai block-funktiota ei voi tehdä tiedostoille, jos tiedoston luokitus on laitteen välimuistissa ennen Salli tai estä -toimintoa.

Huomautus

Pe-tiedoston on oltava laitteen aikajanalla, jotta voit suorittaa tämän toiminnon.

Toiminnon suorittamisen ja todellisen tiedoston estoajan välillä voi olla muutama minuutti viive.

Ota tiedostoestotoiminto käyttöön

Jos haluat aloittaa tiedostojen estämisen, sinun on ensin otettava Estä tai salli -ominaisuus käyttöön asetuksissa.

Salli tai estä tiedosto

Kun lisäät tiedostoon ilmaisimen hajautusarvon, voit halutessasi lisätä ilmoituksen ja estää tiedoston aina, kun organisaatiosi laite yrittää suorittaa sen.

Ilmaisimen automaattisesti estämät tiedostot eivät näy tiedoston toimintokeskuksessa, mutta ilmoitukset näkyvät silti Ilmoitusjonossa.

Lisätietoja tiedostojen estämisestä ja ilmoitusten lisäämisestä on kohdassa Ilmaisimien hallinta .

Jos haluat lopettaa tiedoston estämisen, poista ilmaisin. Voit tehdä sen tiedoston profiilisivun Muokkaa ilmaisinta -toiminnolla. Tämä toiminto näkyy samassa sijainnissa kuin Lisää ilmaisin -toiminto, ennen kuin lisäsit ilmaisimen.

Voit muokata ilmaisimia myös Asetukset-sivunSäännöt-ilmaisimet-kohdassa>. Ilmaisimet on lueteltu tällä alueella tiedoston hajautusarvon mukaan.

Toiminnon tietojen tarkistaminen toimintokeskuksessa

Toimintokeskus tarjoaa tietoja laitteessa tai tiedostossa tehdyistä toiminnoista. Voit tarkastella seuraavia tietoja:

  • Tutkimuspaketin kerääminen
  • Virustentorjuntatarkistus
  • Sovellusrajoitus
  • Laitteen eristys

Näet myös kaikki muut aiheeseen liittyvät tiedot, kuten lähetyspäivämäärän/-kellonajan, käyttäjän lähettämisen ja sen, onnistuiko vai epäonnistuiko toiminto.

Toimintokeskus, jossa on tietoja

Syväanalyysi

Kyberturvallisuustutkimukset käynnistyvät yleensä hälytyksen avulla. Ilmoitukset liittyvät yhteen tai useampaan havaittuun tiedostoon, jotka ovat usein uusia tai tuntemattomia. Tiedoston valitseminen vie sinut tiedostonäkymään, jossa voit tarkastella tiedoston metatietoja. Voit rikastaa tiedostoon liittyviä tietoja lähettämällä tiedoston syväanalyysia varten.

Syväanalyysi-ominaisuus suorittaa tiedoston turvallisessa, täysin instrumentoidussa pilviympäristössä. Syväanalyysitulokset näyttävät tiedoston toiminnan, havaitut toimintatiedot ja niihin liittyvät artefaktit, kuten pudotetut tiedostot, rekisterin muutokset ja yhteydenpidon IPS:iin. Syväanalyysi tukee tällä hetkellä kannettavien suoritettavan tiedoston (PE) tiedostojen (mukaan lukien .exe ja .dll tiedostojen) laajaa analyysia.

Tiedoston syväanalyysi kestää useita minuutteja. Kun tiedostoanalyysi on valmis, Syväanalyysi-välilehti päivittyy näyttämään yhteenvedon sekä viimeisimpien saatavilla olevien tulosten päivämäärän ja ajan.

Syväanalyysin yhteenveto sisältää luettelon havaituista toiminnoista, joista osa voi viitata haitalliseen toimintaan ja havaittavissa oleviin, mukaan lukien yhteyden otetut IPS:t ja levyllä luodut tiedostot. Jos mitään ei löytynyt, näissä osissa näkyy lyhyt sanoma.

Syväanalyysin tulokset vastaavat uhkatietoja, ja kaikki vastaavuudet luovat asianmukaiset hälytykset.

Syväanalyysiominaisuuden avulla voit tutkia minkä tahansa tiedoston tietoja, yleensä kuulutuksen tutkinnan aikana tai mistä tahansa muusta syystä, jossa epäilet haitallista käyttäytymistä. Tämä ominaisuus on käytettävissä tiedoston sivun yläreunassa. Valitse kolme pistestä, jotta voit käyttää Syväanalyysi-toimintoa .

Näyttökuva Syväanalyysi-toiminnosta

Lisätietoja syväanalyysista on seuraavassa videossa:

Syväanalyysia varten lähettäminen on käytössä, kun tiedosto on käytettävissä Defender for Endpoint -taustamallikokoelmassa tai jos se havaittiin Windows 10 laitteessa, joka tukee syväanalyysiin lähettämistä.

Huomautus

Vain Windows 10, Windows 11 ja Windows Server 2012 R2+:n tiedostot voidaan kerätä automaattisesti.

Voit myös lähettää mallin Microsoft Defender portaalin kautta, jos tiedostoa ei havaittu Windows 10 laitteessa (tai Windows 11 tai Windows Server 2012 R2+:ssa) ja odottaa, kunnes Lähetä syväanalyysi -painike on käytettävissä.

Huomautus

Microsoft Defender portaalin taustakäsittelytyönkulkujen vuoksi tiedoston lähettämisen ja Defender for Endpointin syväanalyysiominaisuuden käytettävyyden välillä voi olla jopa 10 minuuttia viivettä.

Tiedostojen lähettäminen syväanalyysia varten

  1. Valitse tiedosto, jonka haluat lähettää syväanalyysia varten. Voit valita tai hakea tiedostoa mistä tahansa seuraavista näkymistä:

    • Ilmoitukset – valitse tiedostolinkit Ilmoitustarina-aikajanan Kuvauksesta tai Tiedot-kohdasta
    • Laiteluettelo – valitse tiedostolinkit Laitteen organisaatiossa -osion Kuvaus- tai Tiedot-kohdasta
    • Haku ruutu - valitse tiedosto avattavasta valikosta ja anna tiedostonimi

  2. Valitse tiedostonäkymän Syväanalyysi-välilehdeltäLähetä.

    Lähetä PE -tiedostot -painike

    Huomautus

    Vain PE-tiedostoja tuetaan, mukaan lukien .exe - ja .dll-tiedostot .

    Näkyviin tulee edistymispalkki, joka antaa tietoja analyysin eri vaiheista. Voit sitten tarkastella raporttia, kun analyysi on valmis.

Huomautus

Laitteen käytettävyydestä riippuen mallikokoelman aika voi vaihdella. Mallikokoelmalle on kolmen tunnin aikakatkaisu. Kokoelma epäonnistuu ja toiminto keskeytetään, jos kyseisellä hetkellä ei ole online-Windows 10 laitteen (tai Windows 11 tai Windows Server 2012 R2+) raportointia. Voit lähettää tiedostoja uudelleen syväanalyysia varten, jotta saat tiedostosta tuoreet tiedot.

Tarkastele syväanalyysiraportteja

Tarkastele annettua syväanalyysiraporttia, niin näet tarkempia tietoja lähettämästäsi tiedostosta. Tämä ominaisuus on käytettävissä tiedostonäkymän kontekstissa.

Voit tarkastella kattavaa raporttia, joka sisältää lisätietoja seuraavista osioista:

  • Käyttäytymistä
  • Observables

Annetut tiedot voivat auttaa sinua tutkimaan, onko olemassa viitteitä mahdollisesta hyökkäyksestä.

  1. Valitse tiedosto, jonka lähetit syväanalyysia varten.

  2. Valitse Syväanalyysi-välilehti . Jos aiempia raportteja on, raportin yhteenveto näkyy tässä välilehdessä.

    Syväanalyysiraportti, joka näyttää yksityiskohtaisia tietoja useista luokista

Syväanalyysin vianmääritys

Jos kohtaat ongelman yrittäessäsi lähettää tiedostoa, kokeile kutakin seuraavista vianmääritysvaiheista.

  1. Varmista, että kyseessä oleva tiedosto on PE-tiedosto. PE-tiedostoilla on yleensä .exe - tai .dll -tiedostotunnisteet (suoritettavat ohjelmat tai sovellukset).

  2. Varmista, että palvelulla on tiedoston käyttöoikeus, että se on edelleen olemassa eikä sitä ole vioittunut tai muokattu.

  3. Odota hetki ja yritä lähettää tiedosto uudelleen. Jono voi olla täynnä, tai siinä tapahtui tilapäinen yhteys- tai tietoliikennevirhe.

  4. Jos mallikokoelman käytäntöä ei ole määritetty, oletustoiminta on sallia mallikokoelma. Jos se on määritetty, varmista, että käytäntöasetus sallii mallikokoelman, ennen kuin lähetät tiedoston uudelleen. Kun mallikokoelma on määritetty, tarkista seuraava rekisteriarvo:

    Path: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
Name: AllowSampleCollection
Type: DWORD
Hexadecimal value :
  Value = 0 - block sample collection
  Value = 1 - allow sample collection

  5. Muuta organisaatioyksikköä ryhmäkäytäntö kautta. Lisätietoja on artikkelissa Ryhmäkäytäntö määrittäminen.

  6. Jos nämä vaiheet eivät ratkaise ongelmaa, ota yhteyttä tukeen.

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.