Microsoft Defender ATP 通知に関連付けられているファイルを調査する

適用対象:

重要

一部の情報はリリース前の製品に関することであり、正式版がリリースされるまでに大幅に変更される可能性があります。 ここに記載された情報について、Microsoft は明示または黙示を問わずいかなる保証をするものでもありません。

Microsoft Defender ATP を体験するには、 無料試用版にサインアップしてください。

特定のアラートや動作、イベントに関連のあるファイルを細かく調査することで、ファイルが悪意のある動きをしていないかを判別して、攻撃の動機を特定し、潜在的な脅威の範囲を確認するのに役立ちます。

特定のファイルの詳細なプロファイルページにアクセスするには、さまざまな方法があります。 たとえば、検索機能を使用して、通知プロセスツリーインシデントグラフ成果物のタイムライン、または機械のタイムラインに表示されているイベントのいずれかのリンクをクリックします。

[プロファイルの詳細] ページで、[新しいファイル] ページを切り替えて、新しいページレイアウトと古いページレイアウトを切り替えることができます。 この記事の残りの部分では、新しいページレイアウトについて説明します。

ファイル ビューでは、次のセクションから情報を取得できます。

  • ファイルの詳細、マルウェアの検出、ファイルの流行
  • 詳細分析
  • アラート
  • Observed in organization (組織内での観察状況)
  • 詳細分析
  • ファイル名

このページからファイルに対して操作を実行することもできます。

ファイル操作

[プロファイル] ページの上部にあるファイル情報カードの上にあります。 次のような操作を実行できます。

  • 停止と検疫
  • 追加/編集インジケーター
  • ファイルをダウンロードする
  • 脅威の専門家に問い合わせる
  • アクション センター

これらのアクションの詳細については、「ファイルに対して応答アクションを実行する」を参照してください。

ファイルの詳細、マルウェアの検出、およびファイルの流行

ファイルの詳細、インシデント、マルウェア検出、およびファイルの流行カードには、ファイルに関するさまざまな属性が表示されます。

ファイルの MD5、ウイルスの合計検出率、Windows Defender AV 検出 (利用可能な場合)、ファイルの流行 (ワールドワイドと組織内の両方) などの詳細が表示されます。

ファイル情報の画像

アラート

[通知] タブには、ファイルに関連付けられている通知の一覧が表示されます。 この一覧には、影響を受けるコンピューターが属しているコンピューターグループを除き、アラートキューと同じ情報が含まれています。 表示される情報の種類を選択するには、列見出しの上にあるツールバーの [列のカスタマイズ] を選択します。

ファイルに関連するアラート セクションの画像

Observed in organization (組織内での観察状況)

[組織] タブでは、日付の範囲を指定して、ファイルで監視されているデバイスを確認できます。

注意

このタブには、最大数の100コンピューターが表示されます。 ファイルを含む_すべて_のデバイスを表示するには、タブの列見出しの上にあるアクションメニューから [エクスポート] を選択して、タブを CSV ファイルにエクスポートします。

ファイルが最後に確認されたコンピューターの画像

スライダーまたは [範囲セレクター] を使って、ファイルに関連するイベントを確認する期間をすばやく指定します。 1日の小サイズの時間枠を指定できます。 これにより、その時点でその IP アドレスと通信したファイルだけが表示され、不必要なスクロールや検索が大幅に減少します。

詳細分析

[詳細分析] タブでは、詳細な分析のためにファイルを送信して、ファイルの動作や組織内での効果の詳細を確認できます。 ファイルを送信した後、結果が利用可能になると、このタブに詳細分析レポートが表示されます。 Deep analysis で何も見つからなかった場合、レポートは空になり、結果の領域は空白のままになります。

[詳細分析] タブの画像

ファイル名

[ファイル名] タブには、組織内でファイルを使用することが確認されたすべての名前が一覧表示されます。

[ファイル名] タブの画像

関連トピック