Investigar um ficheiro
Aplica-se a:
- API do Microsoft Defender para Endpoint 1
- Microsoft Defender para Endpoint Plano 2
- Microsoft Defender XDR
Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.
Investigue os detalhes de um ficheiro associado a um alerta, comportamento ou evento específico para ajudar a determinar se o ficheiro apresenta atividades maliciosas, identificar a motivação do ataque e compreender o âmbito potencial da falha.
Existem várias formas de aceder à página de perfil detalhada de um ficheiro específico. Por exemplo, pode utilizar a funcionalidade de pesquisa, clicar numa ligação a partir da árvore de processos de Alerta, gráfico de Incidentes, Linha cronológica do artefacto ou selecionar um evento listado na Linha cronológica do dispositivo.
Uma vez na página de perfil detalhada, pode alternar entre os esquemas de página novos e antigos ao alternar a nova página Ficheiro. O resto deste artigo descreve o esquema de página mais recente.
Pode obter informações das seguintes secções na vista de ficheiros:
- Detalhes do ficheiro e metadados pe (se existir)
- Incidentes e alertas
- Observado na organização
- Nomes de ficheiros
- Conteúdo e capacidades do ficheiro (se um ficheiro tiver sido analisado pela Microsoft)
Também pode efetuar ações num ficheiro a partir desta página.
Ações de ficheiro
As ações de ficheiro estão acima dos cartões de informações de ficheiro na parte superior da página de perfil. As ações que pode efetuar aqui incluem:
- Parar e colocar em quarentena
- Indicador Gerir
- Transferir ficheiro
- Pergunte aos Especialistas do Defender
- Ações manuais
- Ir caçar
- Análise profunda
Veja Tomar medidas de resposta num ficheiro para obter mais informações sobre estas ações.
Descrição geral da página de ficheiros
A página de ficheiro oferece uma descrição geral dos detalhes e atributos do ficheiro, dos incidentes e alertas onde o ficheiro é visto, dos nomes de ficheiro utilizados, do número de dispositivos onde o ficheiro foi visto nos últimos 30 dias, incluindo as datas em que o ficheiro foi visto pela primeira vez e visto pela última vez na organização, taxa de deteção total de vírus, Microsoft Defender deteção de Antivírus, o número de aplicações na cloud ligadas ao ficheiro e a prevalência do ficheiro em dispositivos fora da organização.
Nota
Diferentes utilizadores podem ver valores diferentes na secção dispositivos na organização do cartão de prevalência de ficheiro. Isto deve-se ao facto de o cartão apresentar informações com base no âmbito de controlo de acesso baseado em funções (RBAC) que um utilizador tem. Isto significa que, se tiver sido concedida visibilidade a um utilizador num conjunto específico de dispositivos, apenas verá a prevalência organizacional do ficheiro nesses dispositivos.
Incidentes e alertas
O separador Incidentes e alertas fornece uma lista de incidentes associados ao ficheiro e os alertas aos quais o ficheiro está ligado. Esta lista abrange grande parte das mesmas informações que a fila de incidentes. Pode escolher que tipo de informação é apresentada ao selecionar Personalizar colunas. Também pode filtrar a lista ao selecionar Filtrar.
Observado na organização
O separador Observado na organização mostra-lhe os dispositivos e as aplicações na cloud observados com o ficheiro. O histórico de ficheiros relacionado com dispositivos pode ser apresentado até aos últimos seis meses, enquanto o histórico relacionado com aplicações na cloud é até aos últimos 30 dias
Dispositivos
Esta secção mostra todos os dispositivos onde o ficheiro é detetado. A secção inclui um relatório popular que identifica o número de dispositivos em que o ficheiro foi observado nos últimos 30 dias. Abaixo da linha de tendência, pode encontrar informações detalhadas sobre o ficheiro em cada dispositivo onde é visto, incluindo o estado de execução de ficheiros, eventos vistos pela primeira e última vez em cada dispositivo, iniciando o processo e a hora e nomes de ficheiros associados a um dispositivo.
Pode clicar num dispositivo na lista para explorar o histórico de ficheiros completo de seis meses em cada dispositivo e deslocar-se para o primeiro evento visto na linha cronológica do dispositivo.
Aplicações na cloud
Nota
A carga de trabalho do Defender para Cloud Apps tem de estar ativada para ver informações de ficheiros relacionadas com aplicações na cloud.
Esta secção mostra todas as aplicações na cloud onde o ficheiro é observado. Também inclui informações como os nomes do ficheiro, os utilizadores associados à aplicação, o número de correspondências com uma política de aplicações na cloud específica, os nomes das aplicações associadas, a última modificação do ficheiro e o caminho do ficheiro.
Nomes de ficheiros
O separador Nomes de ficheiros lista todos os nomes que o ficheiro observou utilizar, nas suas organizações.
Conteúdo e capacidades de ficheiros
Nota
As vistas de conteúdo e capacidades do ficheiro dependem se a Microsoft analisou o ficheiro.
O separador Conteúdo do ficheiro lista informações sobre ficheiros executáveis portáteis (PE), incluindo escritas de processos, criação de processos, atividades de rede, escritas de ficheiros, eliminações de ficheiros, leituras de registo, escritas no registo, cadeias de carateres, importações e exportações. Este separador também lista todas as capacidades do ficheiro.
A vista de capacidades de ficheiro lista as atividades de um ficheiro como mapeadas para as técnicas MITRE ATT&CK™.
Tópicos relacionados
- Ver e organizar a fila de Microsoft Defender para Endpoint
- Gerir alertas de Microsoft Defender para Endpoint
- Investigar alertas de Microsoft Defender para Endpoint
- Investigar dispositivos na lista de Dispositivos do Microsoft Defender para Endpoint
- Investigar um endereço IP associado a um alerta de Microsoft Defender para Endpoint
- Investigar um domínio associado a um alerta de Microsoft Defender para Endpoint
- Investigar uma conta de utilizador no Microsoft Defender para Endpoint
- Tomar medidas de resposta num ficheiro
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.