Microsoft Defender for Endpoint アラートに関連付けられているファイルを調査するInvestigate a file associated with a Microsoft Defender for Endpoint alert

重要

最近の高度な攻撃である Solorigateから Microsoft がどのように顧客を保護しているのかについて説明します。Learn how Microsoft is helping to protect customers from Solorigate, a recent sophisticated attack.

適用対象Applies to:

Defender for Endpoint を体験してみませんか?Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

特定のアラートや動作、イベントに関連のあるファイルを細かく調査することで、ファイルが悪意のある動きをしていないかを判別して、攻撃の動機を特定し、潜在的な脅威の範囲を確認するのに役立ちます。Investigate the details of a file associated with a specific alert, behavior, or event to help determine if the file exhibits malicious activities, identify the attack motivation, and understand the potential scope of the breach.

特定のファイルの詳細なプロファイル ページにアクセスする方法は多数あります。There are many ways to access the detailed profile page of a specific file. たとえば、検索機能を使用したり、アラート プロセス ツリー、インシデント**** グラフ、成果物のタイムラインからのリンク**** をクリックしたり、デバイスのタイムラインに一覧表示されているイベントを選択することができます。 ****For example, you can use the search feature, click on a link from the Alert process tree, Incident graph, Artifact timeline, or select an event listed in the Device timeline.

詳細なプロファイル ページで、新しいファイル ページを切り替えて、新しいページ レイアウトと古いページ レイアウト を切り替えることができますOnce on the detailed profile page, you can switch between the new and old page layouts by toggling new File page. この記事の残りの部分では、新しいページ レイアウトについて説明します。The rest of this article describes the newer page layout.

ファイル ビューでは、次のセクションから情報を取得できます。You can get information from the following sections in the file view:

  • ファイルの詳細、マルウェア検出、ファイルの確認File details, Malware detection, File prevalence
  • 詳細分析Deep analysis
  • アラートAlerts
  • Observed in organization (組織内での観察状況)Observed in organization
  • 詳細分析Deep analysis
  • ファイル名File names

このページからファイルに対してアクションを実行することもできます。You can also take action on a file from this page.

ファイルアクションFile actions

プロファイル ページの上部にあるファイル情報カードの上。Along the top of the profile page, above the file information cards. ここで実行できるアクションは次のとおりです。Actions you can perform here include:

  • 停止と検疫Stop and quarantine
  • インジケーターの追加/編集Add/edit indicator
  • ファイルをダウンロードするDownload file
  • 脅威の専門家に問い合わせるConsult a threat expert
  • アクション センターAction center

これらのアクションの詳細については、「ファイルに対して 対応アクションを実行する」を参照してくださいFor more information on these actions, see Take response action on a file.

ファイルの詳細、マルウェア検出、ファイルの確認File details, Malware detection, and File prevalence

ファイルの詳細、インシデント、マルウェアの検出、およびファイルの確認状況のカードには、ファイルに関するさまざまな属性が表示されます。The file details, incident, malware detection, and file prevalence cards display various attributes about the file.

ファイルの MD5、ウイルスの合計検出率、Microsoft Defender AV の検出 (利用可能な場合)、ファイルの確認状況 (世界中と組織内の両方) などの詳細が表示されます。You'll see details such as the file’s MD5, the Virus Total detection ratio, and Microsoft Defender AV detection if available, and the file’s prevalence, both worldwide and within your organizations.

ファイル情報の画像

アラートAlerts

[Alerts] タブには、ファイルに関連付けられているアラートの一覧が表示されます。The Alerts tab provides a list of alerts that are associated with the file. この一覧では、通知キューと同じ情報の多くについて説明します。ただし、影響を受けるデバイスが属するデバイス グループがある場合は除く。This list covers much of the same information as the Alerts queue, except for the device group, if any, the affected device belongs to. 表示される情報の種類を選択するには、列見出し**** の上にあるツール バーから [列のカスタマイズ] を選択します。You can choose what kind of information is shown by selecting Customize columns from the toolbar above the column headers.

ファイルに関連するアラート セクションの画像

Observed in organization (組織内での観察状況)Observed in organization

[Observed in organization] タブでは、日付範囲を指定して、ファイルで観察されたデバイスを確認できます。The Observed in organization tab allows you to specify a date range to see which devices have been observed with the file.

注意

このタブには、最大 100 台のデバイスが表示されます。This tab will show a maximum number of 100 devices. ファイルと_一_緒にすべてのデバイスを表示するには、タブの列見出しの上にある**** 操作メニューから [エクスポート] を選択して、タブを CSV ファイルにエクスポートします。To see all devices with the file, export the tab to a CSV file, by selecting Export from the action menu above the tab's column headers.

ファイルを含む最新の観察されたデバイスの画像

スライダーまたは範囲セレクターを使用して、ファイルに関連するイベントを確認する期間をすばやく指定します。Use the slider or the range selector to quickly specify a time period that you want to check for events involving the file. 1 日分の小さいタイム ウィンドウを指定できます。You can specify a time window as small as a single day. これにより、その時点でその IP アドレスと通信したファイルのみを表示できます。これにより、不要なスクロールと検索が大幅に削減されます。This will allow you to see only files that communicated with that IP Address at that time, drastically reducing unnecessary scrolling and searching.

詳細分析Deep analysis

[詳細分析] タブを使用すると、ファイルを詳細に分析するために送信し、ファイルの動作に関する詳細と、ファイルが組織に与える影響を明らかにできます。The Deep analysis tab allows you to submit the file for deep analysis, to uncover more details about the file's behavior, as well as the effect it is having within your organizations. ファイルを送信すると、結果が得られたら、このタブに詳細分析レポートが表示されます。After you submit the file, the deep analysis report will appear in this tab once results are available. 詳細分析で何も見つからなかった場合、レポートは空で、結果領域は空白のままです。If deep analysis did not find anything, the report will be empty and the results space will remain blank.

詳細分析タブの画像

ファイル名File names

[ ファイル名] タブには、ファイルが使用されている、組織内で確認された名前の一覧が表示されます。The File names tab lists all names the file has been observed to use, within your organizations.

[ファイル名] タブの画像

関連トピックRelated topics