Undersöka en fil
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Undersök information om en fil som är associerad med en specifik avisering, beteende eller händelse för att avgöra om filen uppvisar skadliga aktiviteter, identifiera orsaken till attacken och förstå överträdelsens potentiella omfattning.
Det finns många sätt att komma åt den detaljerade profilsidan för en specifik fil. Du kan till exempel använda sökfunktionen, klicka på en länk från aviseringsprocessträdet, incidentdiagrammet, artefakttidslinjen eller välja en händelse som anges i enhetens tidslinje.
På den detaljerade profilsidan kan du växla mellan de nya och gamla sidlayouterna genom att växla till ny filsida. Resten av den här artikeln beskriver den nyare sidlayouten.
Du kan hämta information från följande avsnitt i filvyn:
- Filinformation och PE-metadata (om det finns)
- Incidenter och aviseringar
- Observeras i organisationen
- Filnamn
- Filinnehåll och funktioner (om en fil har analyserats av Microsoft)
Du kan också vidta åtgärder för en fil från den här sidan.
Filåtgärder
Filåtgärderna ligger ovanför filinformationskorten överst på profilsidan. Åtgärder som du kan utföra här är:
- Stoppa och placera i karantän
- Hantera indikator
- Ladda ned fil
- Fråga Defender-experter
- Manuella åtgärder
- Gå på jakt
- Djupanalys
Mer information om dessa åtgärder finns i Vidta svarsåtgärd för en fil .
Översikt över filsida
På filsidan finns en översikt över filens information och attribut, incidenter och aviseringar där filen visas, filnamn som används, antalet enheter där filen har setts under de senaste 30 dagarna, inklusive datum då filen först och senast sågs i organisationen, förhållandet för totalt virusidentifiering, Microsoft Defender Antivirusidentifiering, antalet molnappar som är anslutna till filen och filens förekomst på enheter utanför organisationen.
Obs!
Olika användare kan se olika värden i avsnittet enheter i organisationen på kortet för filprevalens. Det beror på att kortet visar information baserat på rbac-omfånget (rollbaserad åtkomstkontroll). Det innebär att om en användare har beviljats synlighet på en specifik uppsättning enheter ser de bara filorganisationsprevalensen på dessa enheter.
Incidenter och aviseringar
Fliken Incidenter och aviseringar innehåller en lista över incidenter som är associerade med filen och de aviseringar som filen är länkad till. Den här listan beskriver mycket av samma information som incidentkön. Du kan välja vilken typ av information som visas genom att välja Anpassa kolumner. Du kan också filtrera listan genom att välja Filter.
Observeras i organisationen
Fliken Observerad i organisationen visar de enheter och molnappar som observerats med filen. Filhistorik som är relaterad till enheter kan visas fram till de senaste sex månaderna, medan molnappsrelaterad historik är upp till de senaste 30 dagarna
Enheter
Det här avsnittet visar alla enheter där filen identifieras. Avsnittet innehåller en trendande rapport som identifierar antalet enheter där filen har observerats under de senaste 30 dagarna. Under trendlinjen hittar du detaljerad information om filen på varje enhet där den visas, inklusive filkörningsstatus, första och sista händelser på varje enhet, initiera process och tid samt filnamn som är associerade med en enhet.
Du kan klicka på en enhet i listan för att utforska hela sex månaders filhistorik på varje enhet och pivot till den första händelsen som visas på enhetens tidslinje.
Molnappar
Obs!
Arbetsbelastningen Defender för Cloud Apps måste vara aktiverad för att se filinformation som rör molnappar.
Det här avsnittet visar alla molnprogram där filen observeras. Den innehåller även information som filens namn, de användare som är associerade med appen, antalet matchningar till en specifik molnappprincip, associerade appars namn, när filen senast ändrades och filens sökväg.
Filnamn
På fliken Filnamn visas alla namn som filen har observerats att använda i dina organisationer.
Filinnehåll och funktioner
Obs!
Filinnehålls- och funktionsvyerna beror på om Microsoft har analyserat filen.
På fliken Filinnehåll visas information om portabla körbara filer (PE), inklusive processskrivningar, processskapande, nätverksaktiviteter, filskrivningar, filborttagningar, registerläsningar, registerskrivningar, strängar, importer och exporter. På den här fliken visas även alla filfunktioner.
Vyn filfunktioner visar en lista över en fils aktiviteter som mappats till MITRE ATT-&CK-teknikerna™.
Relaterade ämnen
- Visa och organisera Microsoft Defender för Endpoint-kön
- Hantera Microsoft Defender för Endpoint aviseringar
- Undersöka Microsoft Defender för Endpoint aviseringar
- Undersöka enheter i listan Microsoft Defender för Endpoint enheter
- Undersöka en IP-adress som är associerad med en Microsoft Defender för Endpoint avisering
- Undersöka en domän som är associerad med en Microsoft Defender för Endpoint avisering
- Undersöka ett användarkonto i Microsoft Defender för Endpoint
- Vidta svarsåtgärder för en fil
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för