Изучение файла

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Изучите сведения о файле, связанном с определенным оповещением, поведением или событием, чтобы определить, есть ли в файле вредоносные действия, определить мотивацию атаки и понять потенциальные область нарушения.

Существует множество способов доступа к странице подробного профиля определенного файла. Например, можно использовать функцию поиска, щелкнуть ссылку из дерева оповещений, графа инцидентов, артефакта временная шкала или выбрать событие, указанное в временная шкала устройства.

Перейдя на страницу подробного профиля, можно переключаться между новым и старым макетами страницы, переключив новую страницу Файл. В оставшейся части этой статьи описывается более новый макет страницы.

Сведения можно получить из следующих разделов в представлении файлов:

• Сведения о файле и метаданные PE (если они существуют)
• Инциденты и оповещения
• Наблюдается в организации
• Имена файлов
• Содержимое и возможности файла (если файл был проанализирован корпорацией Майкрософт)

Вы также можете выполнить действия с файлом с этой страницы.

Действия с файлами

Действия с файлами находятся над карточками сведений о файлах в верхней части страницы профиля. Здесь можно выполнить следующие действия:

• Останов и помещение в карантин
• Управление индикатором
• Скачивание файла
• Спросите экспертов Defender
• Действия, выполняемые вручную
• Запуск слежения
• Подробный анализ

Дополнительные сведения об этих действиях см. в статье Выполнение действий реагирования на файл .

Обзор страницы файлов

На странице файла представлен обзор сведений и атрибутов файла, инцидентов и оповещений, в которых отображается файл, используемых имен файлов, количества устройств, на которых файл был виден за последние 30 дней, включая даты, когда файл был первым и последним в организации, коэффициент общего обнаружения вирусов, Microsoft Defender обнаружение антивирусной программы, количество облачных приложений, подключенных к файлу, и распространенность файла на устройствах за пределами организации.

Примечание.

Разные пользователи могут видеть разнородные значения в разделе устройства в организации карта распространенности файлов. Это связано с тем, что карта отображает сведения, основанные на область управления доступом на основе ролей (RBAC), которые есть у пользователя. Это означает, что если пользователю предоставлена видимость на определенном наборе устройств, он увидит только распространенность файлов в организации на этих устройствах.

Инциденты и оповещения

На вкладке Инциденты и оповещения представлен список инцидентов, связанных с файлом, и оповещений, с которыми связан файл. Этот список охватывает большую часть той же информации, что и очередь инцидентов. Вы можете выбрать тип отображаемых сведений, выбрав Настроить столбцы. Вы также можете отфильтровать список, выбрав Фильтр.

Наблюдается в организации

На вкладке Наблюдаемо в организации отображаются устройства и облачные приложения, наблюдаемые с файлом. Журнал файлов, связанных с устройствами, может отображаться за последние шесть месяцев, в то время как журнал, связанный с облачными приложениями, — за последние 30 дней.

Устройства

В этом разделе показаны все устройства, на которых обнаружен файл. В этом разделе содержится отчет о тенденциях, определяющий количество устройств, на которых за последние 30 дней наблюдался файл. Под линией тренда можно найти подробные сведения о файле на каждом устройстве, где он отображается, включая состояние выполнения файла, первые и последние видимые события на каждом устройстве, инициации процесса и времени, а также имена файлов, связанные с устройством.

Вы можете щелкнуть устройство в списке, чтобы просмотреть полный журнал файлов за шесть месяцев на каждом устройстве и свести к первому событию в временная шкала устройства.

Облачные приложения

Примечание.

Для просмотра сведений о файлах, связанных с облачными приложениями, должна быть включена рабочая нагрузка Defender for Cloud Apps.

В этом разделе показаны все облачные приложения, в которых наблюдается файл. Сюда также входят такие сведения, как имена файлов, пользователи, связанные с приложением, количество совпадений с определенной политикой облачных приложений, имена связанных приложений, время последнего изменения файла и путь к файлу.

Имена файлов

На вкладке Имена файлов перечислены все имена, которые файл использует в организации.

Содержимое и возможности файлов

Примечание.

Содержимое файла и представления возможностей зависят от того, проанализировала ли этот файл корпорация Майкрософт.

На вкладке Содержимое файла содержатся сведения о переносимых исполняемых файлах (PE), включая записи процессов, создание процесса, сетевые действия, записи файлов, удаление файлов, операции чтения реестра, записи реестра, строки, импорт и экспорт. На этой вкладке также перечислены все возможности файла.

В представлении возможностей файла перечислены действия файла, сопоставленные с методами MITRE ATT&CK™.

Статьи по теме

• Просмотр и упорядочение очереди Microsoft Defender для конечной точки
• Управление оповещениями Microsoft Defender для конечной точки
• Изучение оповещений Microsoft Defender для конечной точки
• Изучение устройств в списке устройств Microsoft Defender для конечной точки
• Изучение IP-адреса, связанного с оповещением Microsoft Defender для конечной точки
• Изучение домена, связанного с оповещением Microsoft Defender для конечной точки
• Изучение учетной записи пользователя в Microsoft Defender для конечной точки
• Выполнение действий ответов в файле

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.