Выполнение действий ответов в файлеTake response actions on a file

Область применения:Applies to:

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска.Some information relates to prereleased product which may be substantially modified before it's commercially released. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.Microsoft makes no warranties, express or implied, with respect to the information provided here.

Хотите испытать Defender для конечной точки?Want to experience Defender for Endpoint? Зарегистрився для бесплатной пробной.Sign up for a free trial.

Быстро реагируйте на обнаруженные атаки, останавливая и карантиновая файлы или блокируя файл.Quickly respond to detected attacks by stopping and quarantining files or blocking a file. После принятия действий по файлам можно проверить сведения о действиях в центре действий.After taking action on files, you can check on activity details in the Action center.

Действия реагирования доступны на странице подробный профиль файла.Response actions are available on a file's detailed profile page. Оказавшись на этой странице, вы можете переключаться между макетами новых и старых страниц, переключая новую страницу File.Once on this page, you can switch between the new and old page layouts by toggling new File page. В остальной части этой статьи описывается более новая схема страницы.The rest of this article describes the newer page layout.

Действия реагирования, которые запускают по верхней части страницы файла, включают в себя:Response actions run along the top of the file page, and include:

  • Файл Стоп и КарантинStop and Quarantine File
  • Добавление индикатораAdd Indicator
  • Скачивание файлаDownload file
  • Обратитесь к эксперту по угрозамConsult a threat expert
  • Центр уведомленийAction center

Вы также можете отправить файлы для глубокого анализа, чтобы запустить файл в безопасной облачной песочнице.You can also submit files for deep analysis, to run the file in a secure cloud sandbox. По завершению анализа вы получите подробный отчет, который содержит сведения о поведении файла.When the analysis is complete, you'll get a detailed report that provides information about the behavior of the file. Вы можете отправить файлы для глубокого анализа и прочитать прошлые отчеты, выбрав вкладку Глубокий анализ. Он расположен ниже карт данных файлов.You can submit files for deep analysis and read past reports by selecting the Deep analysis tab. It's located below the file information cards.

Некоторые действия требуют определенных разрешений.Some actions require certain permissions. В следующей таблице описывается, какие действия могут принимать определенные разрешения для переносных исполняемых (PE) и не pe-файлов:The following table describes what action certain permissions can take on portable executable (PE) and non-PE files:

РазрешениеPermission ФАЙЛЫ PEPE files Файлы non-PENon-PE files
Просмотр данныхView data XX XX
Расследование оповещенийAlerts investigation XX
Основной ответ в прямом эфиреLive response basic XX XX
Расширенный ответ в прямом эфиреLive response advanced

Дополнительные сведения о ролях см. в дополнительных сведениях о создании и управлении ролями для управления доступом наоснове ролей.For more information on roles, see Create and manage roles for role-based access control.

Остановка и помещение на карантин файлов в сетиStop and quarantine files in your network

Вы можете содержать атаку в организации, останавливая вредоносный процесс и карантин файла, в котором он был замечен.You can contain an attack in your organization by stopping the malicious process and quarantining the file where it was observed.

Важно!

Вы можете принять это действие только в том случае, если:You can only take this action if:

  • Устройство, на которое вы принимаете действие, работает Windows 10 версии 1703 или более поздней версииThe device you're taking the action on is running Windows 10, version 1703 or later
  • Файл не принадлежит доверенным сторонним издателям или не подписан Корпорацией МайкрософтThe file does not belong to trusted third-party publishers or is not signed by Microsoft
  • антивирусная программа в Microsoft Defender по крайней мере должен работать в пассивном режиме.Microsoft Defender Antivirus must at least be running on Passive mode. Дополнительные сведения см. в антивирусная программа в Microsoft Defender совместимости.For more information, see Microsoft Defender Antivirus compatibility.

Действие Stop and Quarantine File включает остановку запущенных процессов, карантин файлов и удаление сохраняющихся данных, таких как ключи реестра.The Stop and Quarantine File action includes stopping running processes, quarantining the files, and deleting persistent data such as registry keys.

Это действие действует на устройствах Windows 10 версии 1703 или более поздней версии, где файл был замечен в течение последних 30 дней.This action takes effect on devices with Windows 10, version 1703 or later, where the file was observed in the last 30 days.

Примечание

Вы сможете восстановить файл из карантина в любое время.You’ll be able to restore the file from quarantine at any time.

Файлы остановки и карантинаStop and quarantine files

  1. Выберите файл, который необходимо остановить, и карантин.Select the file you want to stop and quarantine. Вы можете выбрать файл из любого из следующих представлений или использовать поле Поиска:You can select a file from any of the following views or use the Search box:

    • Оповещений — щелкните соответствующие ссылки из описания или подробных сведений в временной шкале ОповещенияAlerts - click the corresponding links from the Description or Details in the Alert Story timeline
    • Поле поиска — выберите Файл из выпадаемого меню и введите имя файлаSearch box - select File from the drop–down menu and enter the file name

    Примечание

    Действие файла стопа и карантина ограничено не более 1000 устройств.The stop and quarantine file action is limited to a maximum of 1000 devices. Чтобы остановить файл на большом количестве устройств, см. в добавлении индикатора для блокировки или допуска файла.To stop a file on a larger number of devices, see Add indicator to block or allow file.

  2. Перейдите в верхнюю планку и выберите файл Стоп и Карантин.Go to the top bar and select Stop and Quarantine File.

    Изображение действия стоп-файла и карантина

  3. Укажите причину, а затем выберите Подтверждение.Specify a reason, then select Confirm.

    Изображение окна модуля стоп-файла и карантина

    Центр действий показывает сведения о отправке:The Action center shows the submission information:

    Изображение центра действий стоп-файлов и карантина

    • Время отправки — показывает, когда было отправлено действие.Submission time - Shows when the action was submitted.
    • Успех — показывает количество устройств, на которых был остановлен файл и введен карантин.Success - Shows the number of devices where the file has been stopped and quarantined.
    • Сбой — показывает количество устройств, на которых не удалось действие, и сведения о сбое.Failed - Shows the number of devices where the action failed and details about the failure.
    • Ожидание — показывает количество устройств, с которых файл еще не остановлен и отложен на карантин.Pending - Shows the number of devices where the file is yet to be stopped and quarantined from. Это может занять время для случаев, когда устройство отключено или не подключено к сети.This can take time for cases when the device is offline or not connected to the network.
  4. Выберите любой из индикаторов состояния, чтобы просмотреть дополнительные сведения о действии.Select any of the status indicators to view more information about the action. Например, выберите Не удалось увидеть, где действие не удалось.For example, select Failed to see where the action failed.

Уведомление пользователя устройства:Notification on device user:
При удалении файла с устройства отображается следующее уведомление:When the file is being removed from a device, the following notification is shown:

Изображение уведомления пользователя устройства

В временной шкале устройства для каждого устройства, где файл был остановлен и карантин, добавляется новое событие.In the device timeline, a new event is added for each device where a file was stopped and quarantined.

Перед реализацией действия для файлов, широко используемых в организации, отображается предупреждение.A warning is shown before the action is implemented for files widely used throughout an organization. Это проверка того, что операция предназначена.It's to validate that the operation is intended.

Восстановление файла из карантинаRestore file from quarantine

Вы можете откатить и удалить файл из карантина, если вы определили, что он чист после расследования.You can roll back and remove a file from quarantine if you’ve determined that it’s clean after an investigation. Запустите следующую команду на каждом устройстве, где файл был карантин.Run the following command on each device where the file was quarantined.

  1. Откройте на устройстве повышенную командную строку:Open an elevated command–line prompt on the device:

    1. В меню Пуск введите cmd.Go to Start and type cmd.

    2. Щелкните правой кнопкой мыши командную подсказку и выберите Выполнить в качестве администратора.Right–click Command prompt and select Run as administrator.

  2. Введите следующую команду и нажмите кнопку Ввод:Enter the following command, and press Enter:

    “%ProgramFiles%\Windows Defender\MpCmdRun.exe” –Restore –Name EUS:Win32/CustomEnterpriseBlock –All
    

    Примечание

    В некоторых сценариях имя угрозы может отображаться как: EUS:Win32/CustomEnterpriseBlock!cl.In some scenarios, the ThreatName may appear as: EUS:Win32/CustomEnterpriseBlock!cl.

    Defender for Endpoint восстановит все настраиваемые заблокированные файлы, которые были на карантине на этом устройстве за последние 30 дней.Defender for Endpoint will restore all custom blocked files that were quarantined on this device in the last 30 days.

Важно!

Файл, который был на карантине в качестве потенциальной сетевой угрозы, может не быть восстановлен.A file that was quarantined as a potential network threat might not be recoverable. Если пользователь пытается восстановить файл после карантина, этот файл может быть недоступным.If a user attempts to restore the file after quarantine, that file might not be accessible. Это может быть связано с тем, что система больше не имеет сетевых учетных данных для доступа к файлу.This can be due to the system no longer having network credentials to access the file. Как правило, это результат временного входа в систему или общую папку, а срок действия маркеров доступа истек.Typically, this is a result of a temporary log on to a system or shared folder and the access tokens expired.

Скачивание или сбор файлаDownload or collect file

Выбор файла Загрузка из ответных действий позволяет скачать локальный архив, защищенный паролем, .zip файл.Selecting Download file from the response actions allows you to download a local, password-protected .zip archive containing your file. Появится вылет, в котором можно записать причину загрузки файла и установить пароль.A flyout will appear where you can record a reason for downloading the file, and set a password.

По умолчанию вы не сможете скачивать файлы, которые находятся в карантине.By default, you will not be able to download files that are in quarantine.

Изображение действия файла загрузки

Сбор файловCollect files

Если файл еще не хранится в Microsoft Defender для конечной точки, его нельзя скачать.If a file is not already stored by Microsoft Defender for Endpoint, you can't download it. Вместо этого вы увидите кнопку Сбор файлов в том же расположении.Instead, you'll see a Collect file button in the same location. Если файл не был замечен в организации за последние 30 дней, файл Collect будет отключен.If a file hasn't been seen in the organization in the past 30 days, Collect file will be disabled.

Важно!

Файл, который был на карантине в качестве потенциальной сетевой угрозы, может не быть восстановлен.A file that was quarantined as a potential network threat might not be recoverable. Если пользователь пытается восстановить файл после карантина, этот файл может быть недоступным.If a user attempts to restore the file after quarantine, that file might not be accessible. Это может быть связано с тем, что система больше не имеет сетевых учетных данных для доступа к файлу.This can be due to the system no longer having network credentials to access the file. Как правило, это результат временного входа в систему или общую папку, а срок действия маркеров доступа истек.Typically, this is a result of a temporary log on to a system or shared folder and the access tokens expired.

Добавление индикатора для блокировки или допуска файлаAdd indicator to block or allow a file

Предотвращение дальнейшего распространения атаки в организации, запретив потенциально вредоносные файлы или подозрительные вредоносные программы.Prevent further propagation of an attack in your organization by banning potentially malicious files or suspected malware. Если вы знаете потенциально вредоносный переносной файл(PE), его можно заблокировать.If you know a potentially malicious portable executable (PE) file, you can block it. Эта операция предотвратит чтение, написание или выполнение на устройствах в организации.This operation will prevent it from being read, written, or executed on devices in your organization.

Важно!

  • Эта функция доступна, если в организации используется антивирусная программа в Microsoft Defender и включена защита от облачной доставки.This feature is available if your organization uses Microsoft Defender Antivirus and Cloud–delivered protection is enabled. Дополнительные сведения см. в сведениях Manage cloud-delivered protection.For more information, see Manage cloud–delivered protection.

  • Клиентская версия antimalware должна быть 4.18.1901.x или более поздней версии.The Antimalware client version must be 4.18.1901.x or later.

  • Эта функция предназначена для предотвращения скачивания из Интернета подозрительных вредоносных программ (или потенциально вредоносных файлов).This feature is designed to prevent suspected malware (or potentially malicious files) from being downloaded from the web. В настоящее время он поддерживает переносные исполняемые (PE) файлы, включая .exe и.dllфайлы.It currently supports portable executable (PE) files, including .exe and .dll files. Со временем охват будет расширен.The coverage will be extended over time.

  • Это действие отклика доступно для устройств на Windows 10 версии 1703 или более поздней версии.This response action is available for devices on Windows 10, version 1703 or later.

  • Функция разрешить или заблокировать не может быть сделана в файлах, если классификация файла существует в кэше устройства до действия разрешить или заблокировать.The allow or block function cannot be done on files if the file's classification exists on the device's cache prior to the allow or block action.

Примечание

Файл PE должен быть в временной шкале устройства, чтобы вы могли принять это действие.The PE file needs to be in the device timeline for you to be able to take this action.

Между временем действия и фактическим заблокированным файлом может потребоваться несколько минут задержки.There may be a couple of minutes of latency between the time the action is taken and the actual file being blocked.

Включить функцию файла блокаEnable the block file feature

Чтобы начать блокировать файлы, сначала необходимо включить блок или включить функцию Параметры.To start blocking files, you first need to turn the Block or allow feature on in Settings.

Разрешить или заблокировать файлAllow or block file

При добавлении hash индикатора для файла можно поднять оповещение и заблокировать файл всякий раз, когда устройство в организации пытается запустить его.When you add an indicator hash for a file, you can choose to raise an alert and block the file whenever a device in your organization attempts to run it.

Файлы, автоматически заблокированные индикатором, не будут показываться в центре действий файла, но оповещения по-прежнему будут видны в очереди Оповещения.Files automatically blocked by an indicator won't show up in the file's Action center, but the alerts will still be visible in the Alerts queue.

Дополнительные сведения о блокировке и поднятии оповещений по файлам см. в материале "Управление индикаторами".See manage indicators for more details on blocking and raising alerts on files.

Чтобы остановить блокировку файла, удалите индикатор.To stop blocking a file, remove the indicator. Это можно сделать с помощью действия Edit Indicator на странице профиля файла.You can do so via the Edit Indicator action on the file's profile page. Это действие будет видно в том же положении, что и действие Add Indicator перед добавлением индикатора.This action will be visible in the same position as the Add Indicator action, before you added the indicator.

Вы также можете изменить индикаторы со страницы Параметры, в статье Индикаторы > правил.You can also edit indicators from the Settings page, under Rules > Indicators. Индикаторы перечислены в этой области по hash их файла.Indicators are listed in this area by their file's hash.

Обратитесь к эксперту по угрозамConsult a threat expert

Дополнительные сведения о потенциально скомпрометированном устройстве или уже скомпрометированном устройстве обратитесь к эксперту по угрозам Майкрософт.Consult a Microsoft threat expert for more insights on a potentially compromised device, or already compromised devices. эксперты Майкрософт по угрозам непосредственно изнутри Центр безопасности в Microsoft Defender для быстрого и точного ответа.Microsoft Threat Experts are engaged directly from within the Microsoft Defender Security Center for timely and accurate response. Эксперты предоставляют сведения о потенциально скомпрометированном устройстве и помогают разобраться в сложных угрозах и целевых уведомлениях об атаке.Experts provide insights on a potentially compromised device and help you understand complex threats and targeted attack notifications. Они также могут предоставлять сведения о оповещениях или контексте разведки угроз, которые вы видите на панели мониторинга портала.They can also provide information about the alerts or a threat intelligence context that you see on your portal dashboard.

Подробные сведения см. в материале Consult a Microsoft Threat Expert.See Consult a Microsoft Threat Expert for details.

Проверка сведений о действиях в центре действийCheck activity details in Action center

Центр действий предоставляет сведения о действиях, принятых на устройстве или файле.The Action center provides information on actions that were taken on a device or file. Вы можете просмотреть следующие сведения:You can view the following details:

  • Коллекция пакетов исследованийInvestigation package collection
  • Антивирусное сканированиеAntivirus scan
  • Ограничение приложенияApp restriction
  • Изоляция устройствDevice isolation

Также показаны все другие связанные сведения, такие как дата отправки/время, отправка пользователя, а также успешное действие или сбой.All other related details are also shown, such as submission date/time, submitting user, and if the action succeeded or failed.

Изображение центра действий с информацией

Подробный анализDeep analysis

Расследования кибербезопасности обычно вызываются оповещением.Cyber security investigations are typically triggered by an alert. Оповещения связаны с одним или более наблюдаемым файлом, которые часто являются новыми или неизвестными.Alerts are related to one or more observed files that are often new or unknown. При выборе файла вы сможете просмотреть метаданные файла.Selecting a file takes you to the file view where you can see the file's metadata. Чтобы обогатить данные, связанные с файлом, вы можете отправить файл для глубокого анализа.To enrich the data related to the file, you can submit the file for deep analysis.

Функция Глубокого анализа выполняет файл в безопасной, полностью оборудованной облачной среде.The Deep analysis feature executes a file in a secure, fully instrumented cloud environment. Результаты глубокого анализа показывают действия файла, наблюдаемое поведение и связанные артефакты, такие как отброшенные файлы, изменения реестра и связь с ИП.Deep analysis results show the file's activities, observed behaviors, and associated artifacts, such as dropped files, registry modifications, and communication with IPs. Глубокий анализ в настоящее время поддерживает обширный анализ переносных исполняемых (PE) файлов том числе.exe и.dllфайлов).Deep analysis currently supports extensive analysis of portable executable (PE) files (including .exe and .dll files).

Глубокий анализ файла занимает несколько минут.Deep analysis of a file takes several minutes. После завершения анализа файлов вкладка Deep Analysis будет обновляться, чтобы отобразить сводку и дату и время последних доступных результатов.Once the file analysis is complete, the Deep Analysis tab will update to display a summary and the date and time of the latest available results.

В сводке глубокого анализа содержится список наблюдаемых действий, некоторые из которых могут указывать на вредоносную активность, а также наблюдаемые, включая контактируемые IPs и файлы, созданные на диске. The deep analysis summary includes a list of observed behaviors, some of which can indicate malicious activity, and observables, including contacted IPs and files created on the disk. Если ничего не найдено, в этих разделах будет отображаться краткое сообщение.If nothing was found, these sections will display a brief message.

Результаты глубокого анализа соответствуют сведениям об угрозах, и любые совпадения будут создавать соответствующие оповещения.Results of deep analysis are matched against threat intelligence and any matches will generate appropriate alerts.

Используйте функцию глубокого анализа для изучения сведений о любом файле, как правило, во время расследования оповещения или по любой другой причине, по которой вы подозреваете вредоносное поведение.Use the deep analysis feature to investigate the details of any file, usually during an investigation of an alert or for any other reason where you suspect malicious behavior. Эта функция доступна в вкладке Глубокий анализ на странице профиля файла.This feature is available within the Deep analysis tab, on the file's profile page.

Отправка для глубокого анализа включена, когда файл доступен в коллекции backend Defender для конечной точки, или если он был замечен на устройстве Windows 10, которое поддерживает отправку на глубокий анализ.Submit for deep analysis is enabled when the file is available in the Defender for Endpoint backend sample collection, or if it was observed on a Windows 10 device that supports submitting to deep analysis.

Примечание

Автоматически можно Windows 10 файлы из других стран.Only files from Windows 10 can be automatically collected.

Вы также можете отправить образец через портал Центра безопасности Майкрософт, если файл не был замечен на устройстве Windows 10, и подождать, пока кнопка Отправка глубокого анализа станет доступной.You can also submit a sample through the Microsoft Security Center Portal if the file wasn't observed on a Windows 10 device, and wait for Submit for deep analysis button to become available.

Примечание

Из-за потоков обработки backend на портале Центра безопасности Майкрософт может быть до 10 минут задержки между отправкой файлов и доступностью функции глубокого анализа в Defender for Endpoint.Due to backend processing flows in the Microsoft Security Center Portal, there could be up to 10 minutes of latency between file submission and availability of the deep analysis feature in Defender for Endpoint.

Отправка файлов для глубокого анализаSubmit files for deep analysis

  1. Выберите файл, который необходимо отправить для глубокого анализа.Select the file that you want to submit for deep analysis. Вы можете выбрать или поискать файл из любого из следующих представлений:You can select or search a file from any of the following views:

    • Оповещений — выберите ссылки на файл из описания или подробные сведения в временной шкале ОповещенияAlerts - select the file links from the Description or Details in the Alert Story timeline
    • Список устройств — выберите ссылки на файл из раздела Описание или Сведения в разделе Устройство в организацииDevices list - select the file links from the Description or Details in the Device in organization section
    • Поле поиска — выберите Файл из выпадаемого меню и введите имя файлаSearch box - select File from the drop–down menu and enter the file name
  2. В вкладке Глубокий анализ представления файла выберите Отправить.In the Deep analysis tab of the file view, select Submit.

    Отправлять pe-файлы можно только в разделе сведения о файлах.

    Примечание

    Поддерживаются только файлы PE, в том числе .exe и.dll файлы.Only PE files are supported, including .exe and .dll files.

    Отображается планка прогресса и предоставляет сведения о различных этапах анализа.A progress bar is displayed and provides information on the different stages of the analysis. Затем можно просмотреть отчет, когда будет проведен анализ.You can then view the report when the analysis is done.

Примечание

В зависимости от доступности устройства время сбора образцов может отличаться.Depending on device availability, sample collection time can vary. Существует 3-часовой период времени для коллекции образцов.There is a 3–hour timeout for sample collection. Коллекция не работает, и операция прервается, если в Windows 10 нет отчетов об устройстве.The collection will fail and the operation will abort if there is no online Windows 10 device reporting at that time. Вы можете повторно отправить файлы для глубокого анализа, чтобы получить свежие данные в файле.You can re–submit files for deep analysis to get fresh data on the file.

Просмотр отчетов о глубоком анализеView deep analysis reports

Просмотр предоставленного отчета глубокого анализа, чтобы просмотреть более глубокие сведения о файле, который вы отправили.View the provided deep analysis report to see more in-depth insights on the file you submitted. Эта функция доступна в контексте представления файлов.This feature is available in the file view context.

Вы можете просмотреть полный отчет, в который приводится подробная информация по следующим разделам:You can view the comprehensive report that provides details on the following sections:

  • BehaviorsBehaviors
  • ObservablesObservables

Предоставленные сведения помогут вам разобраться, есть ли признаки потенциальной атаки.The details provided can help you investigate if there are indications of a potential attack.

  1. Выберите файл, который вы отправили для глубокого анализа.Select the file you submitted for deep analysis.

  2. Выберите вкладку Глубокий анализ. Если есть какие-либо предыдущие отчеты, на этой вкладке появится сводка отчета.Select the Deep analysis tab. If there are any previous reports, the report summary will appear in this tab.

    В отчете глубокого анализа показаны подробные сведения по ряду категорий

Устранение неполадок при глубоком анализеTroubleshoot deep analysis

Если при попытке отправки файла возникла проблема, попробуйте каждый из следующих действий по устранению неполадок.If you come across a problem when trying to submit a file, try each of the following troubleshooting steps.

  1. Убедитесь, что этот файл является файлом PE.Ensure that the file in question is a PE file. Файлы PE обычно имеют .exe или.dll расширения (исполняемые программы или приложения).PE files typically have .exe or .dll extensions (executable programs or applications).

  2. Убедитесь, что служба имеет доступ к файлу, который все еще существует и не был поврежден или изменен.Ensure the service has access to the file, that it still exists, and hasn't been corrupted or modified.

  3. Подождите некоторое время и попробуйте отправить файл еще раз.Wait a short while and try to submit the file again. Очередь может быть заполнена, или была временная ошибка подключения или связи.The queue may be full, or there was a temporary connection or communication error.

  4. Если политика сбора образцов не настроена, по умолчанию необходимо разрешить коллекцию образцов.If the sample collection policy isn't configured, then the default behavior is to allow sample collection. Если он настроен, убедитесь, что параметр политики позволяет пример коллекции перед отправкой файла снова.If it's configured, then verify the policy setting allows sample collection before submitting the file again. При настройке коллекции образцов проверьте следующее значение реестра:When sample collection is configured, then check the following registry value:

    Path: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
    Name: AllowSampleCollection
    Type: DWORD
    Hexadecimal value :
      Value = 0 – block sample collection
      Value = 1 – allow sample collection
    
  5. Изменение организационного подразделения с помощью групповой политики.Change the organizational unit through the Group Policy. Дополнительные сведения см. в перенастройке с групповой политикой.For more information, see Configure with Group Policy.

  6. Если эти действия не устраняют проблему, свяжитесь сwinatp@microsoft.com .If these steps do not resolve the issue, contact winatp@microsoft.com.