調查檔案

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

調查與特定警示、行為或事件相關聯的檔案詳細數據,以協助判斷檔案是否呈現惡意活動、識別攻擊動機,以及瞭解缺口的潛在範圍。

有許多方式可以存取特定檔案的詳細配置檔頁面。 例如,您可以使用搜尋功能,按兩下 [ 警示處理程式] 樹狀結構事件圖表成品時程表中的連結,或選取 [ 裝置時間軸] 中列出的事件。

在詳細的配置檔頁面上,您可以切換 新的 [檔案] 頁面,在新的和舊版面配置之間切換。 本文的其餘部分將說明較新的版面配置。

您可以從檔案檢視中的下列區段取得資訊:

  • 檔案詳細數據和PE元數據 (是否存在)
  • 事件和警示
  • 在組織中觀察到
  • 檔案名稱
  • 如果 Microsoft) 已分析檔案,則檔案內容和功能 (

您也可以從此頁面對檔案採取動作。

檔案動作

檔案動作位於配置檔頁面頂端的檔案資訊卡片上方。 您可以在這裡執行的動作包括:

  • 停止並隔離
  • 管理指標
  • 下載檔
  • 詢問 Defender 專家
  • 手動動作
  • 開始搜補
  • 深入分析

如需這些動作的詳細資訊,請參閱對 檔案採取響應 動作。

檔案頁面概觀

檔案頁面提供檔案詳細數據和屬性的概觀、看到檔案的事件和警示、使用的檔名、過去 30 天內看到檔案的裝置數目,包括檔案在組織中第一次和最後一次看到的日期、病毒總偵測比率、 Microsoft Defender 防病毒軟體偵測、連線到檔案的雲端應用程式數目,以及該檔案在組織外部裝置中的普遍性。

注意事項

不同的使用者可能會在檔案普遍性卡片的 [組織] 區段的裝置中 看到不同的值。 這是因為卡片會根據用戶擁有的 RBAC) 範圍 (角色型訪問控制來顯示資訊。 這表示如果使用者已獲授與特定裝置集的可見度,他們只會看到這些裝置上的檔案組織普遍性。

[檔案] 頁面概觀的螢幕快照

事件和警示

[ 事件和警示] 索引標籤 會提供與檔案相關聯的事件清單,以及檔案所連結的警示。 這份清單涵蓋與事件佇列相同的許多資訊。 您可以選擇您可以選擇到 可以顯示何種資訊。 您也可以選取 [篩選] 來 篩選清單。

顯示事件和警示的螢幕快照。

在組織中觀察到

[ 在組織中觀察到] 索引卷標會顯示使用 檔案觀察到的裝置和雲端應用程式。 與裝置相關的檔案歷程記錄最多可顯示在過去六個月,而雲端應用程式相關歷程記錄最多為過去 30 天

裝置

本節顯示偵測到檔案的所有裝置。 區段包含趨勢報告,可識別過去 30 天內觀察到檔案的裝置數目。 在趨勢線下方,您可以在每個裝置上找到檔案的詳細資訊,包括檔案執行狀態、每個裝置上第一個和最後一個看見的事件、起始進程和時間,以及與裝置相關聯的檔名。

您可以按兩下清單上的裝置,探索每個裝置上完整的六個月檔案歷程記錄,並樞紐至裝置時間軸中第一個看見的事件。

檔案內裝置頁面的螢幕快照

雲端應用程式

注意事項

必須啟用適用於雲端應用程式的Defender工作負載,才能查看與雲端應用程式相關的檔案資訊。

本節顯示觀察到檔案的所有雲端應用程式。 它也包含檔案名稱、與應用程式相關聯的使用者、特定雲端應用程式原則的相符項目數目、相關聯的應用程式名稱、上次修改檔案的時間,以及檔案的路徑等資訊。

檔案內雲端應用程式頁面的螢幕快照

檔案名稱

[ 檔案名] 索引標籤會列出已觀察到檔案在組織內使用的所有名稱。

[檔案名] 索引標籤

檔案內容和功能

注意事項

檔案內容和功能檢視取決於 Microsoft 是否已分析檔案。

[檔案內容] 索引標籤會列出可攜式可執行檔 (PE) 檔案的相關信息,包括進程寫入、程式建立、網路活動、檔案寫入、檔案刪除、登錄讀取、登錄寫入、字元串、匯入和匯出。 此索引標籤也會列出檔案的所有功能。

檔案內容的螢幕快照

檔案功能檢視會列出對應至 MITRE ATT&CK™ 技術的檔案活動。

檔案功能的螢幕快照

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。