Compartilhar via

Investigar um ficheiro

  • Artigo

Aplica-se a:

Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.

Investigue os detalhes de um ficheiro associado a um alerta, comportamento ou evento específico para ajudar a determinar se o ficheiro apresenta atividades maliciosas, identificar a motivação do ataque e compreender o âmbito potencial da falha.

Existem várias formas de aceder à página de perfil detalhada de um ficheiro específico. Por exemplo, pode utilizar a funcionalidade de pesquisa, clicar numa ligação a partir da árvore de processos de alerta, gráfico de incidentes, linha do tempo artefacto ou selecionar um evento listado no linha do tempo dispositivo.

Uma vez na página de perfil detalhada, pode alternar entre os esquemas de página novos e antigos ao alternar a nova página Ficheiro. O resto deste artigo descreve o esquema de página mais recente.

Pode obter informações das seguintes secções na vista de ficheiros:

  • Detalhes do ficheiro e metadados pe (se existir)
  • Incidentes e alertas
  • Observado na organização
  • Nomes de arquivos
  • Conteúdo e capacidades do ficheiro (se um ficheiro tiver sido analisado pela Microsoft)

Também pode efetuar ações num ficheiro a partir desta página.

Ações de ficheiro

As ações de ficheiro estão acima dos cartões de informações de ficheiro na parte superior da página de perfil. As ações que pode efetuar aqui incluem:

  • Interromper e colocar o arquivo em quarentena
  • Indicador Gerir
  • Baixar o arquivo
  • Pergunte aos Especialistas do Defender
  • Ações manuais
  • Ir à caça
  • Análise profunda

Veja Tomar medidas de resposta num ficheiro para obter mais informações sobre estas ações.

Descrição geral da página de ficheiros

A página de ficheiro oferece uma descrição geral dos detalhes e atributos do ficheiro, dos incidentes e alertas onde o ficheiro é visto, dos nomes de ficheiro utilizados, do número de dispositivos onde o ficheiro foi visto nos últimos 30 dias, incluindo as datas em que o ficheiro foi visto pela primeira vez e visto pela última vez na organização, taxa de deteção total de vírus, Microsoft Defender deteção de Antivírus, o número de aplicações na cloud ligadas ao ficheiro e a prevalência do ficheiro em dispositivos fora da organização.

Observação

Diferentes utilizadores podem ver valores diferentes na secção dispositivos na organização da prevalência do ficheiro card. Isto acontece porque o card apresenta informações com base no âmbito do controlo de acesso baseado em funções (RBAC) que um utilizador tem. Isto significa que, se tiver sido concedida visibilidade a um utilizador num conjunto específico de dispositivos, apenas verá a prevalência organizacional do ficheiro nesses dispositivos.

Captura de ecrã da descrição geral da página Ficheiro

Incidentes e alertas

O separador Incidentes e alertas fornece uma lista de incidentes associados ao ficheiro e os alertas aos quais o ficheiro está ligado. Esta lista abrange grande parte das mesmas informações que a fila de incidentes. Pode escolher que tipo de informação é apresentada ao selecionar Personalizar colunas. Também pode filtrar a lista ao selecionar Filtrar.

Captura de ecrã a mostrar incidentes e alertas.

Observado na organização

O separador Observado na organização mostra-lhe os dispositivos e as aplicações na cloud observados com o ficheiro. O histórico de ficheiros relacionado com dispositivos pode ser apresentado até aos últimos seis meses, enquanto o histórico relacionado com aplicações na cloud é até aos últimos 30 dias

Dispositivos

Esta secção mostra todos os dispositivos onde o ficheiro é detetado. A secção inclui um relatório popular que identifica o número de dispositivos em que o ficheiro foi observado nos últimos 30 dias. Abaixo da linha de tendência, pode encontrar informações detalhadas sobre o ficheiro em cada dispositivo onde é visto, incluindo a execução de ficheiros status, eventos vistos pela primeira e última vez em cada dispositivo, iniciando o processo e a hora e nomes de ficheiros associados a um dispositivo.

Pode clicar num dispositivo na lista para explorar o histórico de ficheiros completo de seis meses em cada dispositivo e deslocar-se para o primeiro evento visto no dispositivo linha do tempo.

Captura de ecrã da página de dispositivos num ficheiro

Aplicativos em nuvem

Observação

A carga de trabalho Defender para Aplicativos de Nuvem tem de estar ativada para ver informações de ficheiros relacionadas com aplicações na cloud.

Esta secção mostra todas as aplicações na cloud onde o ficheiro é observado. Também inclui informações como os nomes do ficheiro, os utilizadores associados à aplicação, o número de correspondências com uma política de aplicações na cloud específica, os nomes das aplicações associadas, a última modificação do ficheiro e o caminho do ficheiro.

Captura de ecrã da página de aplicações na cloud num ficheiro

Nomes de arquivos

O separador Nomes de ficheiros lista todos os nomes que o ficheiro observou utilizar, nas suas organizações.

O separador Nomes de ficheiro

Conteúdo e capacidades de ficheiros

Observação

As vistas de conteúdo e capacidades do ficheiro dependem se a Microsoft analisou o ficheiro.

O separador Conteúdo do ficheiro lista informações sobre ficheiros executáveis portáteis (PE), incluindo escritas de processos, criação de processos, atividades de rede, escritas de ficheiros, eliminações de ficheiros, leituras de registo, escritas no registo, cadeias de carateres, importações e exportações. Este separador também lista todas as capacidades do ficheiro.

Captura de ecrã do conteúdo de um ficheiro

A vista de capacidades de ficheiro lista as atividades de um ficheiro como mapeadas para as técnicas MITRE ATT&CK™.

Captura de ecrã das capacidades de um ficheiro

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.