Undersöka en fil som är kopplad till en Microsoft Defender för slutpunktsaviseringInvestigate a file associated with a Microsoft Defender for Endpoint alert

Gäller för:Applies to:

Vill du använda Defender för Slutpunkt?Want to experience Defender for Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.Sign up for a free trial.

Undersök informationen i en fil som är associerad med en viss avisering, ett visst beteende eller en händelse för att avgöra om filen har skadliga aktiviteter, identifiera attackor motivationen och förstå den potentiella omfattningen av intrånget.Investigate the details of a file associated with a specific alert, behavior, or event to help determine if the file exhibits malicious activities, identify the attack motivation, and understand the potential scope of the breach.

Det finns många sätt att komma åt den detaljerade profilsidan för en viss fil.There are many ways to access the detailed profile page of a specific file. Du kan till exempel använda sökfunktionen, klicka på en länk från aviseringsprocessens träd , incidentdiagram, artefakttidslinje eller välja en händelse som visas på enhetens tidslinje.For example, you can use the search feature, click on a link from the Alert process tree, Incident graph, Artifact timeline, or select an event listed in the Device timeline.

När du är på den detaljerade profilsidan kan du växla mellan de nya och gamla sidlayouterna genom att byta ny Filsida.Once on the detailed profile page, you can switch between the new and old page layouts by toggling new File page. Resten av den här artikeln beskriver den nyare sidlayouten.The rest of this article describes the newer page layout.

Du kan hämta information från följande avsnitt i filvyn:You can get information from the following sections in the file view:

  • Filinformation, identifiering av skadlig kod, filföresökningFile details, Malware detection, File prevalence
  • DjupanalysDeep analysis
  • VarningarAlerts
  • Observerad i organisationenObserved in organization
  • DjupanalysDeep analysis
  • FilnamnFile names

Du kan också vidta åtgärder för en fil från den här sidan.You can also take action on a file from this page.

FilåtgärderFile actions

Ovanför filinformationskorten längst upp på profilsidan.Along the top of the profile page, above the file information cards. Åtgärder som du kan utföra här är:Actions you can perform here include:

  • Stoppa och sätta i karantänStop and quarantine
  • Indikator för att lägga till/redigeraAdd/edit indicator
  • Ladda ned filDownload file
  • Kontakta en hotexpertConsult a threat expert
  • ÅtgärdscenterAction center

Mer information om de här åtgärderna finns i Vidta svarsåtgärder för en fil.For more information on these actions, see Take response action on a file.

Filinformation, identifiering av skadlig kod och fildeekteringFile details, Malware detection, and File prevalence

Filinformation, incident, identifiering av skadlig kod och arkiv som innehåller information om filen visar olika attribut om filen.The file details, incident, malware detection, and file prevalence cards display various attributes about the file.

Du ser information som filens MD5, förhållandet för total virusidentifiering och Microsoft Defender AV-identifiering om det finns tillgängligt, samt filens läkare.You'll see details such as the file’s MD5, the Virus Total detection ratio, and Microsoft Defender AV detection if available, and the file’s prevalence.

Filens kreditkort visar var filen sågs på enheter i organisationen och i hela världen.The file prevalence card shows where the file was seen in devices in the organization and worldwide.

Anteckning

Olika användare kan se olika värden i enheten i organisationsavsnittet av filens kreditkort.Different users may see dissimilar values in the devices in organization section of the file prevalence card. Det beror på att kortet visar information baserat på RBAC-omfattningen som en användare har.This is because the card displays information based on the RBAC scope that a user has. Det betyder att om en användare har beviljats insyn på en viss uppsättning enheter kan de bara se filen som organisatorisk mapp på de enheterna.Meaning, if a user has been granted visibility on a specific set of devices, they will only see the file organizational prevalence on those devices.

Bild av filinformation

VarningarAlerts

fliken Aviseringar finns en lista med aviseringar som är associerade med filen.The Alerts tab provides a list of alerts that are associated with the file. Listan täcker mycket av samma information som kön Aviseringar, utom för enhetsgruppen, om sådan finns, den aktuella enheten tillhör.This list covers much of the same information as the Alerts queue, except for the device group, if any, the affected device belongs to. Du kan välja vilken typ av information som visas genom att välja Anpassa kolumner i verktygsfältet ovanför kolumnrubrikerna.You can choose what kind of information is shown by selecting Customize columns from the toolbar above the column headers.

Bild på aviseringar relaterade till filavsnittet

Observerad i organisationenObserved in organization

fliken Observerad i organisationen kan du ange ett datumintervall för att se vilka enheter som har observerats med filen.The Observed in organization tab allows you to specify a date range to see which devices have been observed with the file.

Anteckning

Den här fliken visar maximalt antal 100 enheter.This tab will show a maximum number of 100 devices. Om du vill visa alla enheter med filen exporterar du fliken till en CSV-fil genom att välja Exportera i åtgärdsmenyn ovanför flikens kolumnrubriker.To see all devices with the file, export the tab to a CSV file, by selecting Export from the action menu above the tab's column headers.

Bild på den senaste observerade enheten med filen

Använd skjutreglaget eller områdesväljaren för att snabbt ange en tidsperiod som du vill kontrollera händelser som innefattar filen.Use the slider or the range selector to quickly specify a time period that you want to check for events involving the file. Du kan ange ett så litet tidsfönster som en enda dag.You can specify a time window as small as a single day. Det gör att du kan se endast filer som kommunicerade med IP-adressen vid den tidpunkten, vilket avsevärt minskar onödig bläddring och sökning.This will allow you to see only files that communicated with that IP Address at that time, drastically reducing unnecessary scrolling and searching.

DjupanalysDeep analysis

fliken Djupanalys kan du skicka filen för djupanalys för att få mer information om filens beteende och den effekt den får i dina organisationer.The Deep analysis tab allows you to submit the file for deep analysis, to uncover more details about the file's behavior, as well as the effect it is having within your organizations. När du har skickat filen visas den djupa analysrapporten på den här fliken när resultaten är tillgängliga.After you submit the file, the deep analysis report will appear in this tab once results are available. Om djupanalys inte hittar något är rapporten tom och resultatutrymmet förblir tomt.If deep analysis did not find anything, the report will be empty and the results space will remain blank.

Bild av djupanalysfliken

FilnamnFile names

fliken Filnamn visas alla namn som filen har observerats att använda i dina organisationer.The File names tab lists all names the file has been observed to use, within your organizations.

Bild på fliken Filnamn