Undersøke en fil
Gjelder for:
- Microsoft Defender for endepunkt plan 1
- Microsoft Defender for endepunkt plan 2
- Microsoft Defender XDR
Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.
Undersøk detaljene for en fil som er knyttet til et bestemt varsel, en bestemt virkemåte eller hendelse, for å finne ut om filen viser skadelige aktiviteter, identifisere angrepsmotivasjonen og forstå det potensielle omfanget av bruddet.
Det finnes mange måter å få tilgang til den detaljerte profilsiden for en bestemt fil på. Du kan for eksempel bruke søkefunksjonen, klikke på en kobling fra varselprosesstreet, hendelsesgrafen, artefakttidslinjen eller velge en hendelse som er oppført på enhetens tidslinje.
Når du er på den detaljerte profilsiden, kan du bytte mellom de nye og gamle sideoppsettene ved å veksle mellom den nye Fil-siden. Resten av denne artikkelen beskriver det nyere sideoppsettet.
Du kan få informasjon fra følgende deler i filvisningen:
- Fildetaljer og PE-metadata (hvis den finnes)
- Hendelser og varsler
- Observert i organisasjonen
- Filnavn
- Filinnhold og -funksjoner (hvis en fil er analysert av Microsoft)
Du kan også utføre handlinger på en fil fra denne siden.
Filhandlinger
Filhandlingene er over filinformasjonskortene øverst på profilsiden. Handlinger du kan utføre her inkluderer:
- Stopp og karantene
- Behandle indikator
- Last ned fil
- Spør Defender-eksperter
- Manuelle handlinger
- Gå på jakt
- Dyp analyse
Se handlingen Ta svar på en fil hvis du vil ha mer informasjon om disse handlingene.
Oversikt over filside
Filsiden gir en oversikt over filens detaljer og attributter, hendelser og varsler der filen er sett, filnavn brukt, antall enheter der filen ble sett i løpet av de siste 30 dagene, inkludert datoene da filen ble først og sist sett i organisasjonen, Virus Total detection ratio, Microsoft Defender Antivirusregistrering, antall skyapper som er koblet til filen, og filens utbredelse i enheter utenfor organisasjonen.
Obs!
Ulike brukere kan se ulike verdier i enhetene i organisasjonsdelen av kortet for utbredelse av filer. Dette er fordi kortet viser informasjon basert på det rollebaserte tilgangskontrollområdet (RBAC) som en bruker har. Dette betyr at hvis en bruker har fått synlighet på et bestemt sett med enheter, vil de bare se utbredelsen av filorganisasjonen på disse enhetene.
Hendelser og varsler
Fanen Hendelser og varsler inneholder en liste over hendelser som er knyttet til filen og varslene filen er koblet til. Denne listen dekker mye av den samme informasjonen som hendelseskøen. Du kan velge hva slags informasjon som skal vises ved å velge Tilpass kolonner. Du kan også filtrere listen ved å velge Filter.
Observert i organisasjonen
Fanen Observert i organisasjonen viser deg enhetene og skyappene som er observert med filen. Fillogg relatert til enheter kan vises opptil de siste seks månedene, mens loggen for skyapper er opptil de siste 30 dagene
Enheter
Denne delen viser alle enhetene der filen er oppdaget. Delen inneholder en populær rapport som identifiserer antall enheter der filen har blitt observert de siste 30 dagene. Nedenfor trendlinjen finner du detaljert informasjon om filen på hver enhet der den vises, inkludert status for filkjøring, hendelser for første og siste sett på hver enhet, start av prosess og tid og filnavn som er knyttet til en enhet.
Du kan klikke på en enhet på listen for å utforske hele filloggen på seks måneder på hver enhet, og pivotere til den første hendelsen som vises på enhetens tidslinje.
Skyapper
Obs!
Arbeidsbelastningen for Defender for Skyapper må være aktivert for å se filinformasjon relatert til skyapper.
Denne delen viser alle skyprogrammene der filen er observert. Den inneholder også informasjon som filnavnene, brukerne som er knyttet til appen, antall treff i en bestemt skyapppolicy, tilknyttede appers navn, når filen sist ble endret og filens bane.
Filnavn
Fanen Filnavn viser alle navnene filen har blitt observert for bruk i organisasjonene.
Filinnhold og -funksjoner
Obs!
Filinnholdet og funksjonalitetsvisningene avhenger av om Microsoft analyserte filen.
Fanen Filinnhold viser informasjon om flyttbare filer (PE), inkludert prosess-skriving, prosessoppretting, nettverksaktiviteter, filtyper, filslettinger, registerlesinger, register-skriving, strenger, importer og eksporter. Denne fanen viser også alle funksjonene i filen.
Filfunksjonene viser en fils aktiviteter som tilordnet MITRE ATT-&CK-teknikker™.
Beslektede emner
- Vise og organisere Microsoft Defender for endepunkt køen
- Behandle Microsoft Defender for endepunkt varsler
- Undersøke Microsoft Defender for endepunkt varsler
- Undersøke enheter i listen over Microsoft Defender for endepunkt enheter
- Undersøke en IP-adresse som er knyttet til et Microsoft Defender for endepunkt-varsel
- Undersøke et domene som er knyttet til et Microsoft Defender for endepunkt varsel
- Undersøke en brukerkonto i Microsoft Defender for endepunkt
- Utføre svarhandlinger på en fil
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for