Выполнение действий ответов в файле

Область применения:

• Microsoft Defender для конечной точки (план 2)

Важно!

Некоторые сведения в этой статье относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Быстрое реагирование на обнаруженные атаки путем остановки и карантина файлов или блокировки файла. После выполнения действий с файлами можно проверка сведения о действиях в центре уведомлений.

Действия ответа доступны на странице подробного профиля файла. На этой странице можно переключаться между новым и старым макетами страниц, переключив новую страницу Файл. В оставшейся части этой статьи описывается более новый макет страницы.

Действия ответа выполняются в верхней части страницы файла и включают:

• Остановка и помещение на карантин файла
• Управление индикатором
• Скачивание файла
• Сбор файла
• Спросите экспертов Defender
• Действия, выполняемые вручную
• Запуск слежения
• Подробный анализ

Примечание.

Если вы используете Defender для конечной точки плана 1, вы можете выполнить определенные действия по реагированию вручную. Дополнительные сведения см. в разделе Действия реагирования вручную.

Вы также можете отправить файлы для глубокого анализа, чтобы запустить файл в безопасной облачной песочнице. После завершения анализа вы получите подробный отчет с информацией о поведении файла. Вы можете отправлять файлы для глубокого анализа и читать прошлые отчеты, выбрав действие Глубокий анализ .

Для некоторых действий требуются определенные разрешения. В следующей таблице описано, какие действия могут выполняться определенными разрешениями для переносимых исполняемых файлов (PE) и файлов, отличных от PE:

Разрешение	PE-файлы	Файлы, отличные от PE
Просмотр данных	X	X
Исследование оповещений	☑	X
Базовый ответ в реальном времени	X	X
Расширенный динамический отклик	☑	☑

Дополнительные сведения о ролях см. в статье Создание ролей и управление ими для управления доступом на основе ролей.

Остановка и помещение на карантин файлов в сети

Вы можете сдержать атаку в организации, остановив вредоносный процесс и заключив в карантин файл, в котором она была обнаружена.

Важно!

Это действие можно выполнить только в том случае, если:

• Устройство, на котором выполняется действие, работает Windows 10 версии 1703 или более поздней, Windows 11 и Windows Server 2012 R2+
• Файл не принадлежит доверенным сторонним издателям или не подписан корпорацией Майкрософт
• Microsoft Defender антивирусная программа должна по крайней мере работать в пассивном режиме. Дополнительные сведения см. в разделе совместимость антивирусной программы Microsoft Defender.

Действие Остановить и карантинный файл включает остановку запущенных процессов, карантин файлов и удаление постоянных данных, таких как разделы реестра.

Это действие вступает в силу на устройствах с Windows 10 версии 1703 или более поздней, а также Windows 11 и Server 2012 R2+, где файл наблюдался за последние 30 дней.

Примечание.

Вы сможете восстановить файл из карантина в любое время.

Остановка и карантин файлов

1. Выберите файл, который нужно остановить, и на карантине. Вы можете выбрать файл из любого из следующих представлений или использовать поле Поиск:

   • Оповещения— выберите соответствующие ссылки в разделе Описание или Сведения в временная шкала
   • Поиск поле — выберите Файл в раскрывающемся меню и введите имя файла.

   Примечание.

   Действие стоп-файла и карантина ограничено не более чем 1000 устройствами. Чтобы остановить файл на большем количестве устройств, см. статью Добавление индикатора в файл блокировки или разрешения.

2. Перейдите на верхнюю панель и выберите Остановить и поместить в карантин файл.

   

3. Укажите причину, а затем выберите Подтвердить.

   

   В центре уведомлений отображаются сведения об отправке:

   

   • Время отправки — показывает, когда было отправлено действие.
   • Успешно . Показывает количество устройств, на которых файл был остановлен и помещен в карантин.
   • Сбой — показывает количество устройств, на которых произошел сбой действия, и сведения о сбое.
   • Ожидание — показывает количество устройств, на которых файл еще не остановлен и помещен в карантин. Это может занять время в случаях, когда устройство находится в автономном режиме или не подключено к сети.

4. Выберите любой из индикаторов состояния, чтобы просмотреть дополнительные сведения о действии. Например, выберите Сбой , чтобы увидеть, где произошел сбой действия.

Уведомление пользователя устройства

При удалении файла с устройства отображается следующее уведомление:

В временная шкала устройства добавляется новое событие для каждого устройства, на котором файл был остановлен и помещен в карантин.

Перед реализацией действия для файлов, широко используемых в организации, отображается предупреждение. Он предназначен для проверки того, предназначена ли операция.

Восстановление файла из карантина

Вы можете выполнить откат и удалить файл из карантина, если вы определили, что он чист после исследования. Выполните следующую команду на каждом устройстве, где файл был помещен в карантин.

1. Откройте командную строку с повышенными привилегиями на устройстве:

   1. В меню Пуск введите cmd.

   2. Щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора.

2. Введите следующую команду и нажмите клавишу ВВОД:

   "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All
   

   Примечание.

   В некоторых сценариях threatName может выглядеть так: EUS:Win32/CustomEnterpriseBlock!cl.

   Defender для конечной точки восстановит все пользовательские заблокированные файлы, которые были помещены в карантин на этом устройстве за последние 30 дней.

Важно!

Файл, который был помещен в карантин как потенциальная сетевая угроза, может быть не восстановлен. Если пользователь пытается восстановить файл после карантина, этот файл может быть недоступен. Это может быть связано с тем, что система больше не имеет сетевых учетных данных для доступа к файлу. Как правило, это происходит в результате временного входа в системную или общую папку и истечения срока действия маркеров доступа.

Скачивание или сбор файла

Выбрав Скачать файл из действий ответа, вы сможете скачать локальный защищенный паролем .zip архив, содержащий файл. Появится всплывающее окно, где можно записать причину скачивания файла и задать пароль.

По умолчанию вы сможете скачивать файлы, которые находятся в карантине.

Кнопка Скачать файл может иметь следующие состояния:

• Активный — вы сможете собрать файл.

• Отключено . Если кнопка неактивна или отключена во время активной попытки сбора, возможно, у вас нет соответствующих разрешений RBAC на сбор файлов.

  Требуются следующие разрешения:

  Для Microsoft Defender XDR единого управления доступом на основе ролей (RBAC):

  • Добавление разрешения на сбор файлов в Microsoft Defender XDR Unified (RBAC)

  Для Microsoft Defender для конечной точки управления доступом на основе ролей (RBAC):

  Для переносимого исполняемого файла (.exe, .sys, .dll и т. д.)

  • Глобальный администратор или расширенный динамический ответ или оповещения

  Непереносимый исполняемый файл (.txt, .docx и т. д.)

  • Глобальный администратор или расширенный динамический ответ
  • Клиенты с включенными разрешениями доступа на основе ролей (RBAC)

Скачивание файлов в карантине

Файлы, помещенные в карантин Microsoft Defender антивирусной программы или группой безопасности, будут сохранены соответствующим образом в соответствии с примерами конфигураций отправки. Ваша команда безопасности может скачать файлы непосредственно со страницы сведений о файле с помощью кнопки "Скачать файл". Эта функция включена по умолчанию.

Расположение зависит от географических параметров вашей организации (ЕС, Великобритания или США). Файл, помещенный в карантин, будет собираться только один раз для каждой организации. Дополнительные сведения о защите данных Майкрософт см. на портале Service Trust Portal по адресу https://aka.ms/STP.

Включение этого параметра может помочь группам безопасности изучать потенциально плохие файлы и расследовать инциденты быстро и менее рискованным способом. Однако если вам нужно отключить этот параметр, перейдите в раздел Параметры>Конечные точки>Дополнительные функции>Скачать файлы в карантине , чтобы настроить параметр. Дополнительные сведения о дополнительных функциях

Резервное копирование файлов, помещенных в карантин

Пользователям может быть предложено предоставить явное согласие перед резервной копией файла, помещенного в карантин, в зависимости от конфигурации отправки примера.

Эта функция не будет работать, если отправка примера отключена. Если настроена автоматическая отправка примера для запроса разрешения у пользователя, будут собираться только те примеры, которые пользователь соглашается отправить.

Важно!

Требования к файлам, помещенным в карантин:

• Ваша организация использует антивирусную программу Microsoft Defender в активном режиме
• Антивирусная подсистема — 1.1.17300.4 или более поздняя. См . статью Версии ежемесячной платформы и подсистемы.
• Облачная защита включена. См . статью Включение облачной защиты
• Отправка примера включена
• Устройства имеют Windows 10 версии 1703 или более поздней, Windows Server 2016 или 2019, Windows Server 2022 или Windows 11

Сбор файлов

Если файл еще не хранится Microsoft Defender для конечной точки, его невозможно скачать. Вместо этого вы увидите кнопку Собрать файл в том же расположении.

Кнопка Собрать файл может иметь следующие состояния:

• Активный — вы сможете собрать файл.

• Отключено . Если кнопка неактивна или отключена во время активной попытки сбора, возможно, у вас нет соответствующих разрешений RBAC на сбор файлов.

  Требуются следующие разрешения:

  Для переносимого исполняемого файла (.exe, .sys, .dll и т. д.)

  • Глобальный администратор или расширенный динамический ответ или оповещения

  Непереносимый исполняемый файл (.txt, .docx и т. д.)

  • Глобальный администратор или расширенный динамический ответ

Если файл не был виден в организации за последние 30 дней, сбор файлов будет отключен.

Важно!

Файл, который был помещен в карантин как потенциальная сетевая угроза, может быть не восстановлен. Если пользователь пытается восстановить файл после карантина, этот файл может быть недоступен. Это может быть связано с тем, что система больше не имеет сетевых учетных данных для доступа к файлу. Как правило, это происходит в результате временного входа в системную или общую папку и истечения срока действия маркеров доступа.

Добавление индикатора для блокировки или разрешения файла

Предотвращение дальнейшего распространения атаки в организации путем запрета потенциально вредоносных файлов или подозрительных вредоносных программ. Если вы знаете потенциально вредоносный переносимый исполняемый файл (PE), его можно заблокировать. Эта операция предотвратит ее чтение, запись или выполнение на устройствах в вашей организации.

Важно!

• Эта функция доступна, если ваша организация использует Microsoft Defender включена антивирусная программа и облачная защита. Дополнительные сведения см. в статье Управление облачной защитой.

• Версия клиента защиты от вредоносных программ должна быть 4.18.1901.x или более поздней.

• Эта функция предназначена для предотвращения загрузки из Интернета подозрительных вредоносных программ (или потенциально вредоносных файлов). В настоящее время он поддерживает переносимые исполняемые (PE) файлы, включая файлы.exe и .dll . Охват будет расширяться со временем.

• Это действие ответа доступно для устройств на Windows 10 версии 1703 или более поздней и Windows 11.

• Функция allow или block не может быть выполнена для файлов, если классификация файла существует в кэше устройства до действия разрешения или блокировки.

Примечание.

Pe-файл должен находиться в временная шкала устройства, чтобы вы могли выполнить это действие.

Между временем выполнения действия и фактическим заблокированным файлом может потребоваться несколько минут задержки.

Включение функции файла блока

Чтобы начать блокировку файлов, сначала необходимо включить функцию Блокировать или разрешить в параметрах.

Разрешить или заблокировать файл

При добавлении хэша индикатора для файла можно создать оповещение и заблокировать файл каждый раз, когда устройство в вашей организации пытается запустить его.

Файлы, автоматически заблокированные индикатором, не будут отображаться в центре уведомлений файла, но оповещения по-прежнему будут отображаться в очереди оповещений.

Дополнительные сведения о блокировке и повышении оповещений для файлов см. в разделе Управление индикаторами .

Чтобы остановить блокировку файла, удалите индикатор. Это можно сделать с помощью действия Изменить индикатор на странице профиля файла. Это действие будет отображаться в той же позиции, что и действие Добавить индикатор , перед добавлением индикатора.

Вы также можете изменить индикаторы на странице Параметры в разделе Индикаторы правил>. Индикаторы перечислены в этой области по хэшу файла.

Проверка сведений о действиях в центре действий

Центр уведомлений предоставляет сведения о действиях, выполненных с устройством или файлом. Вы можете просмотреть следующие сведения:

• Коллекция пакетов для исследования
• Антивирусная проверка
• Ограничение приложения
• Изоляция устройства

Также отображаются все другие связанные сведения, такие как дата и время отправки, отправляющий пользователь, а также сведения о том, успешно ли выполнено действие.

Подробный анализ

Исследования кибербезопасности обычно инициируются оповещением. Оповещения связаны с одним или несколькими наблюдаемых файлами, которые часто являются новыми или неизвестными. При выборе файла вы перейдете в представление файла, где можно просмотреть метаданные файла. Чтобы дополнить данные, связанные с файлом, можно отправить файл для глубокого анализа.

Функция глубокого анализа выполняет файл в безопасной, полностью инструментированной облачной среде. Результаты глубокого анализа показывают действия файла, наблюдаемое поведение и связанные артефакты, такие как удаленные файлы, изменения реестра и взаимодействие с IP-адресами. Глубокий анализ в настоящее время поддерживает обширный анализ переносимых исполняемых файлов (PE) (включая файлы.exe и .dll ).

Глубокий анализ файла занимает несколько минут. После завершения анализа файлов на вкладке Глубокий анализ отобразится сводка, а также дата и время последних доступных результатов.

Сводка по глубокому анализу содержит список наблюдаемых поведений, некоторые из которых могут указывать на вредоносные действия и наблюдаемые объекты, включая ip-адреса и файлы, созданные на диске. Если ничего не найдено, в этих разделах будет отображаться краткое сообщение.

Результаты глубокого анализа сопоставляются с аналитикой угроз, и все совпадения создают соответствующие оповещения.

Используйте функцию глубокого анализа для изучения сведений о любом файле, как правило, во время исследования оповещения или по любой другой причине, когда вы подозреваете вредоносное поведение. Эта функция доступна в верхней части страницы файла. Выберите три точки, чтобы получить доступ к действию Глубокий анализ .

Сведения о глубоком анализе см. в следующем видео:

Отправка для глубокого анализа включена, если файл доступен в коллекции примеров серверной части Defender для конечной точки или если он наблюдался на Windows 10 устройстве, поддерживающем отправку в глубокий анализ.

Примечание.

Автоматически собирать можно только файлы из Windows 10, Windows 11 и Windows Server 2012 R2+.

Вы также можете отправить пример на портале Microsoft Defender, если файл не был замечен на Windows 10 устройстве (или Windows 11 или Windows Server 2012 R2+), и дождаться появления кнопки Отправить для глубокого анализа.

Примечание.

Из-за потоков обработки серверной части на портале Microsoft Defender задержка между отправкой файлов и доступностью функции глубокого анализа в Defender для конечной точки может составлять до 10 минут.

Отправка файлов для глубокого анализа

1. Выберите файл, который нужно отправить для глубокого анализа. Вы можете выбрать файл или выполнить поиск в любом из следующих представлений:

   • Оповещения — выберите ссылки на файл в разделе Описание или Сведения в временная шкала
   • Список устройств — выберите ссылки на файл в разделе Описание или Сведения в разделе Устройство в организации .
   • Поиск поле — выберите Файл в раскрывающемся меню и введите имя файла.

2. На вкладке Глубокий анализ в представлении файлов нажмите кнопку Отправить.

   

   Примечание.

   Поддерживаются только pe-файлы, включая файлы.exe и .dll .

   Отображается индикатор выполнения, в котором содержатся сведения о различных этапах анализа. Затем вы можете просмотреть отчет по завершении анализа.

Примечание.

В зависимости от доступности устройства время сбора примеров может отличаться. Существует 3-часовое время ожидания для сбора примеров. Сбор данных завершится сбоем, и операция прервется, если в это время нет Windows 10 устройства (или Windows 11 или Windows Server 2012 R2+). Вы можете повторно отправить файлы для глубокого анализа, чтобы получить свежие данные о файле.

Просмотр отчетов глубокого анализа

Просмотрите предоставленный отчет о глубоком анализе, чтобы просмотреть более подробные сведения о отправленном файле. Эта функция доступна в контексте представления файлов.

Вы можете просмотреть полный отчет, который содержит подробные сведения о следующих разделах:

• Behaviors
• Наблюдаемые компоненты

Предоставленные сведения помогут вам выяснить, есть ли признаки потенциальной атаки.

1. Выберите файл, отправленный для глубокого анализа.

2. Перейдите на вкладку Глубокий анализ . Если есть какие-либо предыдущие отчеты, на этой вкладке будет отображаться сводка отчета.

   

Устранение неполадок с глубоким анализом

Если при попытке отправить файл возникла проблема, попробуйте выполнить каждое из следующих действий по устранению неполадок.

1. Убедитесь, что рассматриваемый файл является PE-файлом. Pe-файлы обычно имеют расширения.exe или .dll (исполняемые программы или приложения).

2. Убедитесь, что служба имеет доступ к файлу, что он по-прежнему существует и не был поврежден или изменен.

3. Подождите некоторое время и попробуйте отправить файл еще раз. Очередь может быть заполнена, или возникла временная ошибка подключения или связи.

4. Если политика образца коллекции не настроена, по умолчанию будет разрешен сбор примеров. Если он настроен, убедитесь, что параметр политики разрешает сбор примеров перед отправкой файла еще раз. После настройки коллекции примеров проверка следующее значение реестра:

   Path: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
   Name: AllowSampleCollection
   Type: DWORD
   Hexadecimal value :
     Value = 0 - block sample collection
     Value = 1 - allow sample collection
   

5. Измените подразделение с помощью групповая политика. Дополнительные сведения см. в разделе Настройка с помощью групповая политика.

6. Если эти действия не помогли устранить проблему, обратитесь в службу поддержки.

Статьи по теме

• Выполнение действий ответов на устройстве
• Исследование файлов
• Действия реагирования вручную в Microsoft Defender для конечной точки плане 1

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.