調查檔案

  • 14 分鐘

調查與特定警示、行為或事件相關聯的檔案詳細資料,協助確定檔案是否存在惡意活動、識別攻擊動機並了解潛在的安全性缺口範圍。

適用於端點的 Microsoft Defender 檔案頁面資訊的螢幕擷取畫面。

有許多方法可以存取特定檔案的詳細設定檔頁面。 例如,您可以使用搜尋功能,從 [警示] 流程樹狀結構、[事件] 圖表、[成品] 時間軸中選取連結,或選取 [裝置] 時間軸中所列的事件。 在檔案檢視的下列各節中,您可取得相關資訊:

檔案詳細資料、惡意程式碼偵測、檔案普及資訊

  • 檔案詳細資料、惡意程式碼偵測和檔案普及資訊

  • 警示

  • 已在組織中觀察到

  • 深入分析

  • 檔案名稱

沿著 [設定檔] 頁面頂端的檔案資訊卡上方。 您可以在這裡執行的動作包括:

  • 停止與隔離

  • 新增/編輯指標

  • 下載檔案

  • 洽詢威脅專家

  • 控制中心

詳細設定檔頁面

檔案詳細資料、惡意程式碼偵測和檔案普及資訊

[檔案詳細資料]、[事件]、[惡意程式碼偵測] 和 [檔案普及資訊] 卡片會顯示檔案的各種相關屬性。 您將會看到諸如檔案的 MD5、病毒總計偵測比率和 Microsoft Defender AV 偵測 (如適用),以及全球和組織內部的檔案普及等詳細資料。

警示

[警示] 索引標籤會提供與檔案建立關聯的警示清單。 這份清單涵蓋許多與 [警示] 佇列相同的資訊,但不包括受影響裝置所屬的裝置群組 (如適用)。 您可從資料行標題上方的工具列中選取 [自訂資料行],以選擇要顯示的資訊種類。

已在組織中觀察到

[已在組織中觀察到] 索引標籤可讓您指定日期範圍,以查看已透過檔案觀察到哪些裝置。 此索引標籤最多顯示 100 個裝置。 如要查看具有該檔案的所有裝置,請從索引標籤資料行標題上方的 [動作] 功能表中選取 [匯出],將索引標籤匯出至 CSV 檔案。

使用滑桿或範圍選取器,快速指定您要檢查檔案相關事件的期間。 您可以將時間範圍限縮指定為單日。 如此一來,您就只會看到在該時間與該 IP 位址通訊的檔案,大幅減少不必要的捲動和搜尋操作。

深入分析

[深入分析] 索引標籤可讓您提交檔案來進行深入分析,以找出更多有關檔案行為的詳細資料及其在組織內的效果。 提交檔案之後若有可用的結果,此索引標籤就會顯示深入分析報表。 若深層分析找不到任何內容,則報表會呈現空白,且結果空間也會維持空白。

檔案名稱

[檔案名稱] 索引標籤會列出已觀察到的所有檔案名稱,以供組織內部使用。

深層檔案分析

網路安全調查通常由警示觸發。 警示與一或多個觀察到的檔案相關,這些檔案通常為全新或未知。 按一下檔案會前往檔案檢視,您可在其中查看檔案的中繼資料。 為了豐富與檔案相關的資料,您可以提交檔案以進行深入分析。

深入分析功能會在安全且充分受到檢測的雲端環境中執行檔案。 深入分析結果顯示檔案的活動、已觀察到的行為和相關聯的成品,例如已卸除的檔案、登錄修改以及與 IP 的通訊。 深入分析目前支援可攜式執行檔 (PE) 檔案 (包括 .exe 和 .dll 檔案) 的大規模分析。

對檔案的深入分析需要數分鐘的時間。 完成檔案分析後,會更新 [深層分析] 索引標籤,以顯示最新可用結果的日期和時間,以及報表本身的摘要。

深入分析摘要包含已觀察的行為清單,其中有些行為可能指出惡意活動和可觀察值,包括連絡 IP 以及在磁碟上建立的檔案。 若找不到任何內容,這些區段會顯示簡短訊息。

系統會比對深入分析結果與威脅情報,如有任何相符內容即會產生適當的警示。

通常在調查警示期間或出於您懷疑惡意行為的任何其他原因,會使用深入分析功能調查任何檔案的詳細資料。 您可在檔案設定檔頁面的 [深入分析] 索引標籤中使用此功能。

當適用於端點的 Microsoft Defender 後端樣本集合有檔案可供使用,或是在支援提交至深層分析的 Windows 10 裝置上觀察到檔案時,即會啟用提交進行深入分析。 若未在 Windows 10 裝置上觀察到檔案,您也可以透過 Microsoft 資訊安全中心入口網站來手動提交樣本,同時等候 [提交進行深入分析] 按鈕轉為可用。

收集樣本時,適用於端點的 Defender 會在安全環境中執行檔案,並針對觀察到的行為與相關聯成品建立詳細報表,例如裝置上所置放的檔案、IP 通訊和登錄修改。

提交檔案以進行深入分析:

  1. 選擇您要提交以進行深入分析的檔案。 您可以從下列任何檢視中選取或搜尋檔案:

    • 警示 - 從 [成品] 時間軸中的 [描述] 或 [詳細資料] 選取檔案連結

    • 裝置清單 - 從組織區段中 [裝置] 的 [描述] 或 [詳細資料],選取檔案連結

    • 搜尋方塊 - 從下拉式功能表中選取 [檔案],然後輸入檔案名稱

  2. 在檔案檢視的 [深入分析] 索引標籤中,選取 [提交]。

僅支援可攜式執行檔,包括 .exe.dll 檔案。 系統會顯示進度列,並提供分析的不同階段相關資訊。 然後,您可以在分析完成後檢視報告。

檢視深入分析報告

檢視適用於端點的 Defender 提供的深入分析報告,以查看針對已提交檔案執行的深入分析詳細資料。 此功能適用於檔案檢視內容。

您可以檢視提供下列各節詳細資料的完整報告:

  • 行為

  • 可觀察值

此詳細資料可協助您調查是否存在潛在攻擊的指示。

  1. 選取您提交的文件以進行深入分析。

  2. 選取 [深入分析] 索引標籤。如果有任何先前的報表,則在此索引標籤中會顯示報表摘要。

針對深入分析進行疑難排解

若在試圖提交檔案時遇到問題,請嘗試下列各項疑難排解步驟。

  1. 確認有問題的檔案為可攜式執行檔。 可攜式執行檔通常具有 .exe 或 .dll 副檔名 (可執行程式或應用程式)。

  2. 請確保服務可以存取該檔案、該檔案仍然存在,且未遭損壞或修改。

  3. 您可以稍候片刻,如果佇列已滿或是發生暫時性連線或通訊錯誤,請嘗試再次提交檔案。

  4. 若未設定樣本收集原則,則預設行為是允許收集樣本。 若已完成設定,請先確認原則設定允許收集樣本,然後再提交檔案。 設定樣本集合後,請檢查下列登錄值:

    • 路徑:HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection

    • 名稱:AllowSampleCollection

    • 類型: DWORD

    • 十六進位值:

    • 值 = 0 – 封鎖樣本集合

    • 值 = 1 – 允許樣本集合

  5. 透過群組原則變更組織單位。

檔案回應動作

透過停止和隔離檔案或封鎖檔案,快速回應已偵測的攻擊。 針對檔案採取動作後,您可以在控制中心內檢查活動詳細資料。 您可以在檔案的詳細設定檔頁面上使用回應動作。

回應動作會在檔案頁面的頂端執行,且包括:

  • 停止並隔離檔案

  • 新增指標

  • 下載檔案

  • 控制中心

停止並隔離檔案

您可以藉由停止惡意流程和隔離已觀察到的檔案,以遏制組織中的攻擊。

只有在出現下列情況時,您才能執行此動作:

  • 您目前採取行動的裝置是執行 Windows 10 作業系統 1703 版或更新版本

  • 此檔案不屬於受信任的第三方發行者或未經 Microsoft 簽署

  • Microsoft Defender 防毒軟體必須至少以被動模式執行。

[停止並隔離檔案] 動作包括停止執行中的流程、隔離檔案,以及刪除持續性資料 (例如任何登錄機碼)。 [停止並隔離檔案] 動作限制為最多 1000 個裝置。 如要停止大量裝置上的檔案,請參閱「新增指標以封鎖或允許檔案」。

停止並隔離檔案

  1. 選取要停止和隔離的檔案。 您可以從下列任何檢視中,或透過搜尋方塊選取檔案:

    • 警示 - 從 [成品] 時間軸中的 [描述] 或 [詳細資料] 選取對應連結

    • 搜尋方塊 - 從下拉式功能表中選取 [檔案],然後輸入檔案名稱

  2. 移至頂端列,然後選取 [停止並隔離檔案]

  3. 指定原因,然後選取 [確認]

控制中心顯示提交資訊:

- Submission time - Shows when the action was submitted.

- Success - Shows the number of devices where the file has been stopped and quarantined.

- Failed - Shows the number of devices where the action failed and details about the failure.

- Pending - Shows the number of devices where the file is yet to be stopped and quarantined from. This can take time for cases when the device is offline or not connected to the network.

選取任何狀態指示器,以檢視與動作相關的更多資訊。 例如,選取 [失敗] 以查看動作失敗的位置。 從裝置移除檔案時,使用者會收到通知。

在檔案遭到停止和隔離時,系統會為裝置時間軸中的每個裝置新增新事件。 針對整個組織廣泛使用的檔案,系統會在採取動作之前顯示警告,以驗證作業是否在預期之中。

還原隔離的檔案

若您在調查後確定檔案是乾淨的,則可以復原檔案並從隔離中移除。 在檔案遭到隔離的每個裝置上執行下列命令。

  1. 在裝置上開啟提升權限的命令列提示字元:

    • 移至 [開始] 並輸入 cmd

    • 以滑鼠右鍵按一下 [命令提示字元],然後選取 [以系統管理員身分執行]

  2. 輸入下列命令並按 Enter:

    “%ProgramFiles%\Windows Defender\MpCmdRun.exe” –Restore –Name EUS:Win32/CustomEnterpriseBlock –All

新增指標以封鎖或允許檔案

您可以透過阻擋潛在惡意檔案或可疑的惡意程式碼,防止攻擊進一步在組織中傳播。 如果您知道可能惡意的可攜式執行檔 (PE),即可加以封鎖。 此作業可防止其他人在您組織中的裝置上讀取、寫入或執行該檔案。

啟用封鎖檔案功能

如要開始封鎖檔案,您必須先在 [設定] 中開啟 [封鎖] 或 [允許] 功能。

允許或封鎖檔案

當您新增檔案的指標雜湊時,可以選擇引發警示,在組織中的裝置嘗試執行檔案時將其封鎖。 由指標自動封鎖的檔案不會顯示在檔案的控制中心內,但在 [警示] 佇列中仍會顯示警示。 請參閱管理指標,以取得有關封鎖和引發檔案警示的詳細資料。 如要停止封鎖檔案,請移除指標。 您可以透過檔案設定檔頁面上的 [編輯指標] 動作來執行此動作。 在新增指標之前,將會在 [新增指標] 動作所處的相同位置顯示此動作。 您也可以在 [設定] 頁面的 [規則] > [指標] 下編輯指標。 指標會依檔案的雜湊列在此區域中。

下載檔案

從回應動作中選取 [下載檔案],可讓您下載受密碼保護的本機 .zip 封存檔,其中包含您的檔案。 當您選取此動作時,將會顯示飛出視窗。 您可從飛出視窗中,記錄下載檔案的原因。 您也可以設定密碼來開啟檔案。 若適用於端點的 Defender 尚未儲存檔案,您便無法下載該檔案。 相反地,您會在相同的位置看到 [收集檔案] 按鈕。 若過去 30 天內從未在組織中看到檔案,將會停用 [收集檔案]。

檢查控制中心內的活動詳細資料

動作中心會提供對裝置或檔案所採取動作的相關資訊。 您將能夠檢視下列詳細資料:

  • 調查套件集合

  • 防毒軟體掃描

  • 應用程式限制

  • 裝置隔離

此外,也會顯示其他所有相關詳細資料,例如提交日期/時間、提交使用者,以及動作成功或失敗。