調查與特定警示、行為或事件相關的檔案細節,以協助判斷檔案是否存在惡意活動、識別攻擊動機,並了解入侵的潛在範圍。
有許多方法可以存取特定檔案的詳細個人資料頁面。 例如,您可以使用搜尋功能,點擊 警示流程樹、 事件圖表、 工件時間軸中的連結,或選擇 裝置時間軸中列出的事件。
進入詳細個人資料頁面後,你可以透過切換 新檔案頁面來切換新舊頁面版面。 本文其餘部分將介紹較新的頁面配置。
您可以在檔案檢視中從以下章節取得資訊:
- 檔案細節和 PE 元資料 (如果存在的話)
- 事件和警示
- 組織中觀察到
- 檔案名稱
- 檔案內容與功能 (檔案是否已被Microsoft) 分析
您也可以從此頁面對檔案採取行動。
檔案操作
檔案操作位於個人資料頁面頂端的檔案資訊卡上方。 你可以在這裡執行的行動包括:
- 停止並隔離
- 管理指示器
- 下載檔案
- 詢問 Defender 專家
- 手動操作
- 開始搜補
- 深入分析
更多相關資訊請參閱 對檔案採取回應行動 。
檔案頁面總覽
檔案頁面提供檔案細節與屬性概述、檔案出現的事件與警示、使用的檔案名稱、過去 30 天內檔案被發現的裝置數量,包括檔案首次與最後一次在組織中出現的日期、病毒總偵測比率, Microsoft Defender 防毒軟體偵測、連接至檔案的雲端應用程式數量,以及該檔案在組織外裝置中的普遍程度。
注意事項
不同使用者可能會在檔案普及卡的組織區塊中看到不同的 數 值。 這是因為卡片顯示的是基於角色基礎的存取控制 (RBAC) 使用者的範圍。 這表示如果使用者已獲得特定裝置的可見權限,他們只會看到該檔案在該裝置上的組織普遍程度。
事件和警示
事件 與警示 標籤提供與檔案相關的事件清單,以及該檔案所連結的警示。 此清單涵蓋的資訊與事件隊列大致相同。 您可以選擇「 自訂欄位」來選擇顯示的資訊類型。 你也可以選擇 篩選來篩選清單。
組織中觀察到
組織 中觀察 到的標籤會顯示與該檔案一起觀察到的裝置和雲端應用程式。 與裝置相關的檔案歷史可以顯示到過去六個月,而雲端應用程式相關的歷史則可以顯示到過去 30 天
裝置
本區塊顯示所有偵測到該檔案的裝置。 該區包含一份趨勢報告,標示過去30天內觀察到該檔案的裝置數量。 在趨勢線下方,你可以找到每個裝置上該檔案的詳細資訊,包括檔案執行狀態、每個裝置的首次與最後一次事件、啟動程序與時間,以及與裝置相關的檔案名稱。
你可以點擊清單中的某個裝置,探索每個裝置完整的六個月檔案歷史,並轉向裝置時間軸中首次出現的事件。
雲端應用程式
注意事項
必須啟用 Defender for Cloud Apps 工作負載,才能查看與 Cloud Apps 相關的檔案資訊。
本區段顯示所有監控該檔案的雲端應用程式。 它還包含檔案名稱、與應用程式相關的使用者、與特定雲端應用程式政策的匹配次數、相關應用程式名稱、檔案最後修改時間,以及檔案路徑等資訊。
檔案名稱
檔案名稱標籤列出了該檔案在你組織內被觀察到使用的所有名稱。
檔案內容與功能
注意事項
檔案內容與能力檢視取決於 Microsoft 是否分析該檔案。
檔案內容分頁列出有關可攜式執行檔 (PE) 檔案的資訊,包括程序寫入、程序建立、網路活動、檔案寫入、檔案刪除、登錄檔讀取、登錄檔寫入、字串、匯入與匯出。 這個分頁也會列出檔案的所有功能。
檔案能力檢視列出檔案的活動,並映射至 MITRE ATT&CK™ 技術。
