Wykonaj akcje odpowiedzi na pliku

  • Artykuł

Dotyczy:

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Szybkie reagowanie na wykryte ataki przez zatrzymywanie i kwazarowanie plików lub blokowanie pliku. Po wykonaniu akcji na plikach możesz sprawdzić szczegóły działania w Centrum akcji.

Akcje odpowiedzi są dostępne na szczegółowej stronie profilu pliku. Po przejściu na tę stronę możesz przełączać się między nowymi i starymi układami stron, przełączając nową stronę Plik. W pozostałej części tego artykułu opisano nowszy układ strony.

Akcje odpowiedzi są uruchamiane w górnej części strony pliku i obejmują:

  • Zatrzymaj plik i poddaj go kwarantannie
  • Wskaźnik zarządzania
  • Pobieranie pliku
  • Zbieranie pliku
  • Zapytaj ekspertów usługi Defender
  • Akcje ręczne
  • Go hunt
  • Głęboka analiza

Uwaga

Jeśli używasz usługi Defender for Endpoint Plan 1, możesz wykonać pewne akcje odpowiedzi ręcznie. Aby uzyskać więcej informacji, zobacz Ręczne akcje reagowania.

Możesz również przesłać pliki do głębokiej analizy, aby uruchomić plik w bezpiecznej piaskownicy w chmurze. Po zakończeniu analizy otrzymasz szczegółowy raport zawierający informacje o zachowaniu pliku. Możesz przesyłać pliki do głębokiej analizy i odczytywać wcześniejsze raporty, wybierając akcję Analiza szczegółowa .

Niektóre akcje wymagają pewnych uprawnień. W poniższej tabeli opisano akcję, jaką niektóre uprawnienia mogą wykonać w przypadku przenośnych plików wykonywalnych (PE) i innych niż PE:

Uprawnienie Pliki PE Pliki inne niż PE
Wyświetlanie danych X X
Badanie alertów X
Podstawowa odpowiedź na żywo X X
Zaawansowana odpowiedź na żywo

Aby uzyskać więcej informacji na temat ról, zobacz Twórca i zarządzanie rolami na potrzeby kontroli dostępu opartej na rolach.

Zatrzymaj i poddaj kwarantannie pliki w sieci

Możesz powstrzymać atak w organizacji, zatrzymując złośliwy proces i kłócąc plik, w którym był obserwowany.

Ważna

Tę akcję można wykonać tylko wtedy, gdy:

  • Na urządzeniu, na którym jest wykonywana akcja, działa Windows 10 w wersji 1703 lub nowszej, Windows 11 i Windows Server 2012 R2+
  • Plik nie należy do zaufanych wydawców innych firm lub nie jest podpisany przez firmę Microsoft
  • Microsoft Defender program antywirusowy musi co najmniej działać w trybie pasywnym. Aby uzyskać więcej informacji, zobacz Microsoft Defender Zgodność z programem antywirusowym.

Akcja Zatrzymywanie i kwarantanna pliku obejmuje zatrzymywanie uruchomionych procesów, quarantining plików i usuwanie trwałych danych, takich jak klucze rejestru.

Ta akcja ma wpływ na urządzenia z Windows 10 w wersji 1703 lub nowszej oraz Windows 11 i Server 2012 R2+, gdzie plik był obserwowany w ciągu ostatnich 30 dni.

Uwaga

W dowolnym momencie będzie można przywrócić plik z kwarantanny.

Zatrzymywanie i kwarantanna plików

  1. Wybierz plik, który chcesz zatrzymać i poddać kwarantannie. Możesz wybrać plik z dowolnego z następujących widoków lub użyć pola Search:

    • Alerty — wybierz odpowiednie linki z obszaru Opis lub Szczegóły na osi czasu historia alertu
    • Search pole — wybierz pozycję Plik z menu rozwijanego i wprowadź nazwę pliku

    Uwaga

    Akcja pliku zatrzymania i kwarantanny jest ograniczona do maksymalnie 1000 urządzeń. Aby zatrzymać plik na większej liczbie urządzeń, zobacz Dodawanie wskaźnika w celu zablokowania lub zezwolenia na plik.

  2. Przejdź do górnego paska i wybierz pozycję Zatrzymaj i Kwarantanna.

    Akcja pliku zatrzymania i kwarantanny

  3. Określ przyczynę, a następnie wybierz pozycję Potwierdź.

    Strona pliku zatrzymania i kwarantanny

    Centrum akcji pokazuje informacje o przesłaniu:

    Centrum akcji pliku zatrzymania i kwarantanny

    • Czas przesyłania — pokazuje, kiedy akcja została przesłana.
    • Powodzenie — pokazuje liczbę urządzeń, na których plik został zatrzymany i poddany kwarantannie.
    • Niepowodzenie — pokazuje liczbę urządzeń, na których akcja nie powiodła się, oraz szczegóły dotyczące awarii.
    • Oczekujące — pokazuje liczbę urządzeń, z których plik nie został jeszcze zatrzymany i poddany kwarantannie. Może to zająć trochę czasu w przypadku, gdy urządzenie jest w trybie offline lub nie jest połączone z siecią.

  4. Wybierz dowolny ze wskaźników stanu, aby wyświetlić więcej informacji o akcji. Na przykład wybierz pozycję Nie można zobaczyć, gdzie akcja nie powiodła się.

Powiadomienie użytkownika urządzenia

Po usunięciu pliku z urządzenia zostanie wyświetlone następujące powiadomienie:

Powiadomienie użytkownika urządzenia

Na osi czasu urządzenia jest dodawane nowe zdarzenie dla każdego urządzenia, na którym plik został zatrzymany i poddany kwarantannie.

Ostrzeżenie jest wyświetlane przed zaimplementowaniem akcji dla plików powszechnie używanych w całej organizacji. Ma to na celu sprawdzenie, czy operacja jest zamierzona.

Przywróć plik z kwarantanny

Możesz wycofać i usunąć plik z kwarantanny, jeśli ustalono, że jest on czysty po badaniu. Uruchom następujące polecenie na każdym urządzeniu, na którym plik został poddany kwarantannie.

  1. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień na urządzeniu:

    1. Przejdź do pozycji Start i wpisz cmd.

    2. Kliknij prawym przyciskiem myszy wiersz polecenia i wybierz pozycję Uruchom jako administrator.

  2. Wprowadź następujące polecenie i naciśnij klawisz Enter:

    "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All

    Uwaga

    W niektórych scenariuszach nazwa zagrożenia może wyglądać następująco: EUS:Win32/CustomEnterpriseBlock!cl.

    Usługa Defender for Endpoint przywróci wszystkie niestandardowe zablokowane pliki, które zostały poddane kwarantannie na tym urządzeniu w ciągu ostatnich 30 dni.

Ważna

Plik, który został poddany kwarantannie jako potencjalne zagrożenie sieciowe, może nie być możliwy do odzyskania. Jeśli użytkownik spróbuje przywrócić plik po kwarantannie, ten plik może być niedostępny. Może to być spowodowane tym, że system nie ma już poświadczeń sieciowych umożliwiających dostęp do pliku. Zazwyczaj jest to wynikiem tymczasowego logowania do systemu lub folderu udostępnionego, a tokeny dostępu wygasły.

Pobierz lub zbierz plik

Wybranie pozycji Pobierz plik z akcji odpowiedzi umożliwia pobranie lokalnego archiwum .zip chronionego hasłem zawierającego plik. Zostanie wyświetlone okno wysuwane, w którym można zarejestrować przyczynę pobrania pliku i ustawić hasło.

Domyślnie powinno być możliwe pobieranie plików znajdujących się w kwarantannie.

Przycisk Pobierz plik może mieć następujące stany:

  • Aktywne — będzie można zebrać plik.

  • Wyłączone — jeśli przycisk jest wyszarzony lub wyłączony podczas aktywnej próby zbierania, może nie mieć odpowiednich uprawnień RBAC do zbierania plików.

    Wymagane są następujące uprawnienia:

    W przypadku Microsoft Defender XDR ujednoliconej kontroli dostępu opartej na rolach (RBAC):

    • Dodawanie uprawnienia do zbierania plików w Microsoft Defender XDR Unified (RBAC)

    W przypadku Ochrona punktu końcowego w usłudze Microsoft Defender kontroli dostępu opartej na rolach (RBAC):

    W przypadku przenośnego pliku wykonywalnego (.exe, .sys, .dll i innych)

    • Administrator globalny lub zaawansowana odpowiedź na żywo lub alerty

    Plik wykonywalny inny niż przenośny (.txt, .docx i inne)

Akcja pobierania pliku

Pobieranie plików poddanych kwarantannie

Pliki poddane kwarantannie przez program antywirusowy Microsoft Defender lub zespół ds. zabezpieczeń zostaną zapisane w zgodny sposób zgodnie z konfiguracjami przesyłania przykładowego. Twój zespół ds. zabezpieczeń może pobrać pliki bezpośrednio ze strony szczegółów pliku za pośrednictwem przycisku "Pobierz plik". Ta funkcja jest domyślnie włączona.

Lokalizacja zależy od ustawień geograficznych organizacji (UE, Wielka Brytania lub USA). Plik poddany kwarantannie będzie zbierany tylko raz dla organizacji. Dowiedz się więcej o ochronie danych firmy Microsoft w portalu zaufania usługi pod adresem https://aka.ms/STP.

Włączenie tego ustawienia może pomóc zespołom ds. zabezpieczeń w szybkim i mniej ryzykownym badaniu zdarzeń. Jeśli jednak chcesz wyłączyć to ustawienie, przejdź do pozycji Ustawienia>Punkty końcowe>Funkcje> zaawansowanePobierz pliki poddane kwarantannie, aby dostosować ustawienie. Dowiedz się więcej o zaawansowanych funkcjach

Tworzenie kopii zapasowych plików poddanych kwarantannie

Użytkownicy mogą zostać poproszeni o wyrażenie jawnej zgody przed utworzeniem kopii zapasowej pliku poddanego kwarantannie, w zależności od konfiguracji przykładowego przesyłania.

Ta funkcja nie będzie działać, jeśli przesyłanie przykładowe jest wyłączone. Jeśli automatyczne przesyłanie przykładów jest ustawione na żądanie uprawnień od użytkownika, będą zbierane tylko przykłady, które użytkownik zgadza się wysłać.

Ważna

Pobieranie wymagań dotyczących plików poddanych kwarantannie:

  • Twoja organizacja używa programu antywirusowego Microsoft Defender w trybie aktywnym
  • Wersja aparatu antywirusowego to 1.1.17300.4 lub nowszy. Zobacz Miesięczne wersje platformy i aparatu
  • Włączono ochronę opartą na chmurze. Zobacz Włączanie ochrony dostarczanej w chmurze
  • Przesyłanie przykładu jest włączone
  • Urządzenia mają Windows 10 wersji 1703 lub nowszej, windows server 2016 lub 2019 lub Windows Server 2022 lub Windows 11

Zbieranie plików

Jeśli plik nie jest jeszcze przechowywany przez Ochrona punktu końcowego w usłudze Microsoft Defender, nie możesz go pobrać. Zamiast tego w tej samej lokalizacji zostanie wyświetlony przycisk Zbierz plik .

Przycisk Zbierz plik może mieć następujące stany:

  • Aktywne — będzie można zebrać plik.

  • Wyłączone — jeśli przycisk jest wyszarzony lub wyłączony podczas aktywnej próby zbierania, może nie mieć odpowiednich uprawnień RBAC do zbierania plików.

    Wymagane są następujące uprawnienia:

    W przypadku przenośnego pliku wykonywalnego (.exe, .sys, .dll i innych)

    • Administrator globalny lub zaawansowana odpowiedź na żywo lub alerty

    Plik wykonywalny inny niż przenośny (.txt, .docx i inne)

    • Administrator globalny lub zaawansowana odpowiedź na żywo

Jeśli plik nie był widoczny w organizacji w ciągu ostatnich 30 dni, plik Collect zostanie wyłączony.

Ważna

Plik, który został poddany kwarantannie jako potencjalne zagrożenie sieciowe, może nie być możliwy do odzyskania. Jeśli użytkownik spróbuje przywrócić plik po kwarantannie, ten plik może być niedostępny. Może to być spowodowane tym, że system nie ma już poświadczeń sieciowych umożliwiających dostęp do pliku. Zazwyczaj jest to wynikiem tymczasowego logowania do systemu lub folderu udostępnionego, a tokeny dostępu wygasły.

Dodawanie wskaźnika w celu zablokowania lub zezwolenia na plik

Zapobiegaj dalszej propagacji ataku w organizacji, zakazując potencjalnie złośliwych plików lub podejrzewanego złośliwego oprogramowania. Jeśli znasz potencjalnie złośliwy przenośny plik wykonywalny (PE), możesz go zablokować. Ta operacja uniemożliwi jej odczytywanie, zapisywanie lub wykonywanie na urządzeniach w organizacji.

Ważna

  • Ta funkcja jest dostępna, jeśli organizacja korzysta z programu antywirusowego Microsoft Defender i ochrony dostarczanej w chmurze jest włączona. Aby uzyskać więcej informacji, zobacz Zarządzanie ochroną dostarczaną przez chmurę.

  • Wersja klienta ochrony przed złośliwym kodem musi mieć wersję 4.18.1901.x lub nowszą.

  • Ta funkcja ma na celu zapobieganie pobieraniu z Sieci Web podejrzanego złośliwego oprogramowania (lub potencjalnie złośliwych plików). Obecnie obsługuje przenośne pliki wykonywalne (PE), w tym pliki.exe i .dll . Pokrycie zostanie przedłużone w czasie.

  • Ta akcja odpowiedzi jest dostępna dla urządzeń w Windows 10, wersji 1703 lub nowszej i Windows 11.

  • Nie można wykonać funkcji zezwalania lub blokowania dla plików, jeśli klasyfikacja pliku istnieje w pamięci podręcznej urządzenia przed akcją zezwalania lub blokowania.

Uwaga

Aby można było wykonać tę akcję, plik PE musi znajdować się na osi czasu urządzenia.

Może wystąpić kilka minut opóźnienia między wykonaniem akcji a zablokowaniem rzeczywistego pliku.

Włączanie funkcji pliku blokowego

Aby rozpocząć blokowanie plików, należy najpierw włączyć funkcję Blokuj lub zezwalaj w ustawieniach.

Zezwalaj lub blokuj plik

Po dodaniu skrótu wskaźnika dla pliku możesz zgłosić alert i zablokować plik za każdym razem, gdy urządzenie w organizacji podejmie próbę jego uruchomienia.

Pliki automatycznie blokowane przez wskaźnik nie będą wyświetlane w centrum akcji pliku, ale alerty będą nadal widoczne w kolejce alertów.

Zobacz zarządzanie wskaźnikami , aby uzyskać więcej szczegółów na temat blokowania i zgłaszania alertów dotyczących plików.

Aby zatrzymać blokowanie pliku, usuń wskaźnik. Można to zrobić za pomocą akcji Edytuj wskaźnik na stronie profilu pliku. Ta akcja będzie widoczna w tej samej pozycji co akcja Dodaj wskaźnik przed dodaniem wskaźnika.

Wskaźniki można również edytować na stronie Ustawienia w obszarze Wskaźniki reguł>. Wskaźniki są wyświetlane w tym obszarze przez skrót pliku.

Sprawdź szczegóły aktywności w Centrum akcji

Centrum akcji zawiera informacje o akcjach wykonywanych na urządzeniu lub pliku. Możesz wyświetlić następujące szczegóły:

  • Badanie kolekcji pakietów
  • Skanowanie antywirusowe
  • Ograniczenie aplikacji
  • Izolacja urządzenia

Wyświetlane są również wszystkie inne powiązane szczegóły, takie jak data/godzina przesłania, przesyłanie użytkownika oraz czy akcja zakończyła się pomyślnie lub nie powiodła się.

Centrum akcji z informacjami

Głęboka analiza

Badania zabezpieczeń cybernetycznych są zwykle wyzwalane przez alert. Alerty są powiązane z co najmniej jednym zaobserwowanym plikiem, które często są nowe lub nieznane. Wybranie pliku spowoduje przejście do widoku pliku, w którym można wyświetlić metadane pliku. Aby wzbogacić dane związane z plikiem, możesz przesłać plik do głębokiej analizy.

Funkcja analizy głębokiej wykonuje plik w bezpiecznym, w pełni instrumentowanym środowisku chmury. Wyniki szczegółowej analizy pokazują działania pliku, obserwowane zachowania i skojarzone artefakty, takie jak porzucone pliki, modyfikacje rejestru i komunikacja z adresami IP. Głęboka analiza obsługuje obecnie obszerną analizę przenośnych plików wykonywalnych (PE), w tym plików.exe i .dll ).

Szczegółowa analiza pliku trwa kilka minut. Po zakończeniu analizy plików karta Analiza szczegółowa zostanie zaktualizowana w celu wyświetlenia podsumowania oraz daty i godziny najnowszych dostępnych wyników.

Podsumowanie analizy głębokiej zawiera listę obserwowanych zachowań, z których niektóre mogą wskazywać na złośliwe działanie i obserwowane działania, w tym kontaktowane adresy IP i pliki utworzone na dysku. Jeśli nic nie zostało znalezione, w tych sekcjach zostanie wyświetlony krótki komunikat.

Wyniki głębokiej analizy są dopasowywane do analizy zagrożeń, a wszystkie dopasowania wygenerują odpowiednie alerty.

Użyj funkcji analizy głębokiej, aby zbadać szczegóły dowolnego pliku, zwykle podczas badania alertu lub z innego powodu, w którym podejrzewasz złośliwe zachowanie. Ta funkcja jest dostępna w górnej części strony pliku. Wybierz trzy kropki, aby uzyskać dostęp do akcji Analiza szczegółowa .

Zrzut ekranu przedstawiający akcję Analiza szczegółowa

Dowiedz się więcej o głębokiej analizie w poniższym filmie wideo:

Funkcja Prześlij do analizy głębokiej jest włączona, gdy plik jest dostępny w przykładowej kolekcji zaplecza usługi Defender for Endpoint lub jeśli zaobserwowano go na urządzeniu Windows 10, które obsługuje przesyłanie do głębokiej analizy.

Uwaga

Tylko pliki z Windows 10, Windows 11 i Windows Server 2012 R2+ mogą być zbierane automatycznie.

Możesz również przesłać przykład za pośrednictwem portalu Microsoft Defender, jeśli plik nie był obserwowany na urządzeniu Windows 10 (lub Windows 11 lub Windows Server 2012 R2+), i poczekać na udostępnienie przycisku Prześlij, aby uzyskać dostęp do głębokiej analizy.

Uwaga

Ze względu na przepływy przetwarzania zaplecza w portalu Microsoft Defender może wystąpić do 10 minut opóźnienia między przesyłaniem plików a dostępnością funkcji analizy głębokiej w usłudze Defender for Endpoint.

Przesyłanie plików do głębokiej analizy

  1. Wybierz plik, który chcesz przesłać do głębokiej analizy. Możesz wybrać lub wyszukać plik z dowolnego z następujących widoków:

    • Alerty — wybierz linki do plików na osi czasu Opis lub Szczegóły na osi czasu wątku alertu
    • Lista urządzeń — wybierz linki do plików w sekcji Opis lub Szczegóływ sekcji Urządzenie w organizacji
    • Search pole — wybierz pozycję Plik z menu rozwijanego i wprowadź nazwę pliku

  2. Na karcie Analiza szczegółowa widoku pliku wybierz pozycję Prześlij.

    Przycisk Prześlij pliki PE

    Uwaga

    Obsługiwane są tylko pliki PE, w tym pliki.exe i .dll .

    Zostanie wyświetlony pasek postępu, który zawiera informacje o różnych etapach analizy. Następnie możesz wyświetlić raport po zakończeniu analizy.

Uwaga

W zależności od dostępności urządzenia czas zbierania przykładów może się różnić. Istnieje 3-godzinny limit czasu dla przykładowej kolekcji. Kolekcja zakończy się niepowodzeniem, a operacja zostanie przerwana, jeśli w tym czasie nie będzie żadnych raportów Windows 10 online (lub Windows 11 lub Windows Server 2012 R2+). Możesz ponownie przesłać pliki do głębokiej analizy, aby uzyskać nowe dane w pliku.

Wyświetlanie raportów analizy głębokiej

Wyświetl udostępniony raport analizy szczegółowej, aby wyświetlić bardziej szczegółowe szczegółowe informacje na temat przesłanego pliku. Ta funkcja jest dostępna w kontekście widoku pliku.

Możesz wyświetlić kompleksowy raport zawierający szczegółowe informacje na temat następujących sekcji:

  • Zachowania
  • Obserwowane elementy

Podane szczegóły mogą pomóc w zbadaniu, czy istnieją oznaki potencjalnego ataku.

  1. Wybierz przesłany plik do głębokiej analizy.

  2. Wybierz kartę Analiza szczegółowa . Jeśli istnieją jakieś poprzednie raporty, podsumowanie raportu zostanie wyświetlone na tej karcie.

    Raport analizy głębokiej przedstawiający szczegółowe informacje w wielu kategoriach

Rozwiązywanie problemów z głęboką analizą

Jeśli podczas próby przesłania pliku wystąpi problem, spróbuj wykonać każdy z poniższych kroków rozwiązywania problemów.

  1. Upewnij się, że dany plik jest plikiem PE. Pliki PE zwykle mają rozszerzenia.exe lub .dll (programy wykonywalne lub aplikacje).

  2. Upewnij się, że usługa ma dostęp do pliku, że nadal istnieje i nie została uszkodzona ani zmodyfikowana.

  3. Poczekaj chwilę i spróbuj ponownie przesłać plik. Kolejka może być pełna lub wystąpił tymczasowy błąd połączenia lub komunikacji.

  4. Jeśli przykładowe zasady zbierania nie są skonfigurowane, domyślnym zachowaniem jest zezwolenie na zbieranie przykładów. Jeśli jest skonfigurowany, sprawdź, czy ustawienie zasad zezwala na zbieranie przykładów przed ponownym przesłaniem pliku. Po skonfigurowaniu przykładowej kolekcji sprawdź następującą wartość rejestru:

    Path: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
Name: AllowSampleCollection
Type: DWORD
Hexadecimal value :
  Value = 0 - block sample collection
  Value = 1 - allow sample collection

  5. Zmień jednostkę organizacyjną za pośrednictwem zasady grupy. Aby uzyskać więcej informacji, zobacz Konfigurowanie za pomocą zasady grupy.

  6. Jeśli te kroki nie rozwiążą problemu, skontaktuj się z pomocą techniczną.

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.