Examiner un fichier associé à une alerte Microsoft Defender pour le point de terminaisonInvestigate a file associated with a Microsoft Defender for Endpoint alert

S’applique à :Applies to:

Vous souhaitez faire l’expérience de Defender for Endpoint ?Want to experience Defender for Endpoint? Inscrivez-vous à un essai gratuit.Sign up for a free trial.

Examinez les détails d’un fichier associé à une alerte, un comportement ou un événement spécifique pour déterminer si le fichier présente des activités malveillantes, identifier la motivation de l’attaque et comprendre l’étendue potentielle de la violation.Investigate the details of a file associated with a specific alert, behavior, or event to help determine if the file exhibits malicious activities, identify the attack motivation, and understand the potential scope of the breach.

Il existe plusieurs façons d’accéder à la page de profil détaillée d’un fichier spécifique.There are many ways to access the detailed profile page of a specific file. Par exemple, vous pouvez utiliser la fonctionnalité de recherche, cliquer sur un lien à partir de l’arborescence du processus d’alerte, du graphique d’incident, de la chronologie de l’artefact ou sélectionner un événement répertorié dans la chronologie de l’appareil.For example, you can use the search feature, click on a link from the Alert process tree, Incident graph, Artifact timeline, or select an event listed in the Device timeline.

Une fois sur la page de profil détaillée, vous pouvez basculer entre la nouvelle et l’ancienne mise en page en basant la nouvelle page de fichier.Once on the detailed profile page, you can switch between the new and old page layouts by toggling new File page. Le reste de cet article décrit la mise en page la plus nouvelle.The rest of this article describes the newer page layout.

Vous pouvez obtenir des informations à partir des sections suivantes dans l’affichage de fichier :You can get information from the following sections in the file view:

  • Détails du fichier, détection des programmes malveillants, prévalence du fichierFile details, Malware detection, File prevalence
  • Analyse approfondieDeep analysis
  • AlertesAlerts
  • Observé dans l’organisationObserved in organization
  • Analyse approfondieDeep analysis
  • Noms de fichiersFile names

Vous pouvez également agir sur un fichier à partir de cette page.You can also take action on a file from this page.

Actions de fichierFile actions

En haut de la page de profil, au-dessus des cartes d’informations de fichier.Along the top of the profile page, above the file information cards. Les actions que vous pouvez effectuer ici sont les suivantes :Actions you can perform here include:

  • Arrêter et mettre en quarantaineStop and quarantine
  • Indicateur d’ajout/modificationAdd/edit indicator
  • Télécharger un fichierDownload file
  • Consulter un expert en menacesConsult a threat expert
  • Centre de notificationsAction center

Pour plus d’informations sur ces actions, voir Action de réponse sur un fichier.For more information on these actions, see Take response action on a file.

Détails du fichier, détection des programmes malveillants et prévalence du fichierFile details, Malware detection, and File prevalence

Les détails du fichier, les incidents, la détection des programmes malveillants et les cartes de prévalence de fichier affichent différents attributs sur le fichier.The file details, incident, malware detection, and file prevalence cards display various attributes about the file.

Vous verrez des détails tels que le MD5 du fichier, le taux de détection du nombre total de virus et la détection de l’antivirus Microsoft Defender, le cas besoin, ainsi que la prévalence du fichier.You'll see details such as the file’s MD5, the Virus Total detection ratio, and Microsoft Defender AV detection if available, and the file’s prevalence.

La carte de prévalence du fichier indique où le fichier a été vu sur les appareils de l’organisation et du monde entier.The file prevalence card shows where the file was seen in devices in the organization and worldwide.

Notes

Différents utilisateurs peuvent voir des valeurs différentes dans les appareils de la section Organisation de la carte de prévalence du fichier.Different users may see dissimilar values in the devices in organization section of the file prevalence card. En effet, la carte affiche des informations en fonction de l’étendue RBAC dont dispose un utilisateur.This is because the card displays information based on the RBAC scope that a user has. Cela signifie que si un utilisateur a obtenu une visibilité sur un ensemble spécifique d’appareils, il verra uniquement le fichier de prévalence organisationnelle sur ces appareils.Meaning, if a user has been granted visibility on a specific set of devices, they will only see the file organizational prevalence on those devices.

Image des informations de fichier

AlertesAlerts

L’onglet Alertes fournit une liste des alertes associées au fichier.The Alerts tab provides a list of alerts that are associated with the file. Cette liste couvre la plupart des informations de la file d’attente des alertes, à l’exception du groupe d’appareils, s’il y en a, à qui appartient l’appareil concerné.This list covers much of the same information as the Alerts queue, except for the device group, if any, the affected device belongs to. Vous pouvez choisir le type d’informations affiché en sélectionnant Personnaliser les colonnes dans la barre d’outils au-dessus des en-têtes de colonne. You can choose what kind of information is shown by selecting Customize columns from the toolbar above the column headers.

Image des alertes associées à la section de fichier

Observé dans l’organisationObserved in organization

L’onglet Observé dans l’organisation vous permet de spécifier une plage de dates pour voir quels appareils ont été observés avec le fichier.The Observed in organization tab allows you to specify a date range to see which devices have been observed with the file.

Notes

Cet onglet affiche un nombre maximal de 100 appareils.This tab will show a maximum number of 100 devices. Pour voir tous les appareils avec le fichier, exportez l’onglet vers un fichier CSV en sélectionnant Exporter à partir du menu Actions au-dessus des en-têtes de colonne de l’onglet.To see all devices with the file, export the tab to a CSV file, by selecting Export from the action menu above the tab's column headers.

Image de l’appareil observé le plus récent avec le fichier

Utilisez le curseur ou le sélecteur de plage pour spécifier rapidement une période à vérifier pour les événements impliquant le fichier.Use the slider or the range selector to quickly specify a time period that you want to check for events involving the file. Vous pouvez spécifier une fenêtre de temps aussi petite qu’un seul jour.You can specify a time window as small as a single day. Cela vous permettra de voir uniquement les fichiers qui ont communiqué avec cette adresse IP à ce moment-là, ce qui réduit considérablement les recherches et les défilements inutiles.This will allow you to see only files that communicated with that IP Address at that time, drastically reducing unnecessary scrolling and searching.

Analyse approfondieDeep analysis

L’onglet Analyse approfondie vous permet d’envoyer le fichier pour analyse approfondie,de découvrir plus de détails sur le comportement du fichier, ainsi que l’effet qu’il a au sein de vos organisations.The Deep analysis tab allows you to submit the file for deep analysis, to uncover more details about the file's behavior, as well as the effect it is having within your organizations. Une fois que vous avez soumis le fichier, le rapport d’analyse approfondie apparaît dans cet onglet une fois que les résultats sont disponibles.After you submit the file, the deep analysis report will appear in this tab once results are available. Si l’analyse approfondie n’a trouvé rien, le rapport est vide et l’espace de résultats reste vide.If deep analysis did not find anything, the report will be empty and the results space will remain blank.

Image de l’onglet Analyse approfondie

Noms de fichiersFile names

L’onglet Noms de fichiers répertorie tous les noms que le fichier a été observé pour utiliser, au sein de vos organisations.The File names tab lists all names the file has been observed to use, within your organizations.

Image de l’onglet Noms de fichiers