Een bestand onderzoeken dat is gekoppeld aan een waarschuwing van Microsoft Defender voor eindpuntInvestigate a file associated with a Microsoft Defender for Endpoint alert

Van toepassing op:Applies to:

Wilt u Defender voor Eindpunt ervaren?Want to experience Defender for Endpoint? Meld u aan voor een gratis proefabonnement.Sign up for a free trial.

Onderzoek de details van een bestand dat is gekoppeld aan een specifieke waarschuwing, gedrag of gebeurtenis om te bepalen of het bestand schadelijke activiteiten vertoont, de motivatie van de aanval te identificeren en het mogelijke bereik van de inbreuk te begrijpen.Investigate the details of a file associated with a specific alert, behavior, or event to help determine if the file exhibits malicious activities, identify the attack motivation, and understand the potential scope of the breach.

Er zijn veel manieren om toegang te krijgen tot de gedetailleerde profielpagina van een specifiek bestand.There are many ways to access the detailed profile page of a specific file. U kunt bijvoorbeeld de zoekfunctie gebruiken, op een koppeling klikken vanuit de processtructuur Waarschuwing, Incidentgrafiek, Artefacttijdlijn of een gebeurtenis selecteren die wordt weergegeven in de apparaattijdlijn.For example, you can use the search feature, click on a link from the Alert process tree, Incident graph, Artifact timeline, or select an event listed in the Device timeline.

Eenmaal op de gedetailleerde profielpagina kunt u schakelen tussen de nieuwe en oude pagina-indelingen door de nieuwe pagina Bestand te wijzigen.Once on the detailed profile page, you can switch between the new and old page layouts by toggling new File page. In de rest van dit artikel wordt de nieuwere pagina-indeling beschreven.The rest of this article describes the newer page layout.

U kunt informatie krijgen uit de volgende secties in de bestandsweergave:You can get information from the following sections in the file view:

  • Bestandsdetails, malwaredetectie, bestandsprepresentiesFile details, Malware detection, File prevalence
  • Uitgebreide analyseDeep analysis
  • WaarschuwingenAlerts
  • Waargenomen in organisatieObserved in organization
  • Uitgebreide analyseDeep analysis
  • BestandsnamenFile names

U kunt ook actie ondernemen op een bestand vanaf deze pagina.You can also take action on a file from this page.

BestandsactiesFile actions

Boven aan de profielpagina, boven de bestandsgegevenskaarten.Along the top of the profile page, above the file information cards. Acties die u hier kunt uitvoeren zijn:Actions you can perform here include:

  • Stoppen en in quarantaine plaatsenStop and quarantine
  • Indicator Toevoegen/bewerkenAdd/edit indicator
  • DownloadbestandDownload file
  • Contact opnemen met een risicodeskundigeConsult a threat expert
  • ActiecentrumAction center

Zie Actie ondernemen voor een bestand voor meer informatie over deze acties.For more information on these actions, see Take response action on a file.

Bestandsdetails, malwaredetectie en bestandsprevalentieFile details, Malware detection, and File prevalence

In de bestandsdetails, incidenten, malwaredetectie en bestandsprecierkaarten worden verschillende kenmerken van het bestand weergegeven.The file details, incident, malware detection, and file prevalence cards display various attributes about the file.

U ziet details zoals de MD5 van het bestand, de detectieverhouding virustotaal en AV-detectie van Microsoft Defender indien beschikbaar, en de prevalentie van het bestand.You'll see details such as the file’s MD5, the Virus Total detection ratio, and Microsoft Defender AV detection if available, and the file’s prevalence.

Op de kaart bestandsprevalentie ziet u waar het bestand is gezien op apparaten in de organisatie en wereldwijd.The file prevalence card shows where the file was seen in devices in the organization and worldwide.

Notitie

Verschillende gebruikers zien mogelijk ongelijksoortige waarden in de apparaten in de sectie organisatie van de bestandsprevalentiekaart.Different users may see dissimilar values in the devices in organization section of the file prevalence card. Dit komt omdat op de kaart gegevens worden weergegeven op basis van het RBAC-bereik dat een gebruiker heeft.This is because the card displays information based on the RBAC scope that a user has. Dit betekent dat als een gebruiker zichtbaarheid heeft gekregen op een bepaalde set apparaten, hij of zij alleen de invloed van de organisatie van het bestand op deze apparaten ziet.Meaning, if a user has been granted visibility on a specific set of devices, they will only see the file organizational prevalence on those devices.

Afbeelding van bestandsgegevens

WaarschuwingenAlerts

Het tabblad Waarschuwingen bevat een lijst met waarschuwingen die aan het bestand zijn gekoppeld.The Alerts tab provides a list of alerts that are associated with the file. Deze lijst bevat veel van dezelfde informatie als de wachtrij Waarschuwingen, met uitzondering van de apparaatgroep, indien van het betreffende apparaat.This list covers much of the same information as the Alerts queue, except for the device group, if any, the affected device belongs to. U kunt kiezen welk soort informatie wordt weergegeven door kolommen aanpassen te selecteren op de werkbalk boven de kolomkoppen.You can choose what kind of information is shown by selecting Customize columns from the toolbar above the column headers.

Afbeelding van waarschuwingen met betrekking tot de bestandssectie

Waargenomen in organisatieObserved in organization

Op het tabblad Waargenomen in organisatie kunt u een datumbereik opgeven om te zien welke apparaten met het bestand zijn waargenomen.The Observed in organization tab allows you to specify a date range to see which devices have been observed with the file.

Notitie

Op dit tabblad wordt een maximum aantal van 100 apparaten weergegeven.This tab will show a maximum number of 100 devices. Als u alle apparaten met het bestand wilt zien, exporteert u het tabblad naar een CSV-bestand door Exporteren te selecteren in het actiemenu boven de kolomkoppen van het tabblad.To see all devices with the file, export the tab to a CSV file, by selecting Export from the action menu above the tab's column headers.

Afbeelding van het meest recente waargenomen apparaat met het bestand

Gebruik de schuifregelaar of de bereik selector om snel een periode op te geven die u wilt controleren op gebeurtenissen met het bestand.Use the slider or the range selector to quickly specify a time period that you want to check for events involving the file. U kunt een tijdvenster zo klein opgeven als één dag.You can specify a time window as small as a single day. Hierdoor kunt u alleen bestanden zien die op dat moment met dat IP-adres zijn gecommuniceerd, waardoor onnodig schuiven en zoeken drastisch wordt verkleind.This will allow you to see only files that communicated with that IP Address at that time, drastically reducing unnecessary scrolling and searching.

Uitgebreide analyseDeep analysis

Op het tabblad Diepe analyse kunt u het bestand indienen voor uitgebreide analyse, om meer details over het gedrag van het bestand te ontdekken, evenals het effect dat het heeft binnen uw organisaties. The Deep analysis tab allows you to submit the file for deep analysis, to uncover more details about the file's behavior, as well as the effect it is having within your organizations. Nadat u het bestand hebt verzenden, wordt het uitgebreide analyserapport weergegeven op dit tabblad zodra de resultaten beschikbaar zijn.After you submit the file, the deep analysis report will appear in this tab once results are available. Als er niets is gevonden in een uitgebreide analyse, is het rapport leeg en blijft de resultatenruimte leeg.If deep analysis did not find anything, the report will be empty and the results space will remain blank.

Afbeelding van het tabblad Diepe analyse

BestandsnamenFile names

Het tabblad Bestandsnamen bevat alle namen die het bestand heeft waargenomen om te gebruiken, binnen uw organisaties.The File names tab lists all names the file has been observed to use, within your organizations.

Afbeelding van het tabblad Bestandsnamen