對檔案採取回應動作

透過停止和隔離檔案或封鎖檔案來快速回應偵測到的攻擊。 對檔案採取動作之後，您可以在控制中心檢查活動詳細資料。

回應動作可在檔案的詳細設定檔頁面上取得。 進入此頁面後，您可以透過切換 新的「檔案」頁面，在新舊頁面佈局之間切換。 本文的其餘部分將說明較新的頁面版面配置。

回應動作會沿著檔案頁面頂端執行，包括：

• 停止並隔離檔案
• 管理指標
• 下載檔案
• 收集檔案
• 詢問 Defender 專家
• 手動動作
• 開始搜補
• 深入分析

您也可以提交檔案進行深入分析，以便在安全的雲端沙箱中執行檔案。 分析完成時，您會收到一份詳細報告，其中提供檔案行為的相關資訊。 您可以提交檔案進行深入分析，並選取「 深度分析」 動作來閱讀過去的報告。

某些動作需要特定的權限。 下表說明特定許可權可以對可攜式可執行檔 (PE) 和非 PE 檔案採取哪些動作：

如需角色的詳細資訊，請參閱建立 和管理角色型存取控制的角色。

停止並隔離您網路中的檔案

您可以停止惡意進程並隔離觀察到攻擊的檔案，以遏制組織中的攻擊。

停止 並隔離檔案動作 包括停止執行中的進程、隔離檔案，以及刪除登錄機碼等持續性資料。

此動作會在裝有 Windows 10 版本 1703 或更新版本，以及 Windows 11 和 Windows Server 2012 R2 或更新版本的裝置上生效，在過去 30 天內觀察到檔案。

停止和隔離檔案

1. 選取您要停止並隔離的檔案。 您可以從下列任何檢視中選取檔案，或使用 [搜尋] 方塊：

   • 警示 - 從警示案例時間軸的「說明」或「詳細資料」中選取對應的連結
   • 搜尋方塊 - 從下拉式功能表中選取 [檔案 ]，然後輸入檔案名稱

   注意事項

   停止和隔離檔案動作限制為最多 1000 個裝置。 若要在大量裝置上停止檔案，請參閱 新增指示器以封鎖或允許檔案。
   停止和隔離動作的逾時期間上限為 3 天。 如果目標裝置在啟動動作後保持離線時間超過此時間段，則不會將動作傳遞至該裝置。
   若要確保檔案在逾時之後或動作完成後仍會遭到封鎖，建議建立指示器來明確封鎖檔案。

2. 移至頂端列，然後選取 [停止並隔離檔案]。

   

3. 指定原因，然後選取 [確認]。

   

   控制中心會顯示提交資訊：

   

   • 提交時間 - 顯示動作的提交時間。
   • 成功 - 顯示檔案已停止並隔離的裝置數目。
   • 失敗 - 顯示動作失敗的裝置數目，以及失敗的詳細資料。
   • 擱置中 - 顯示檔案尚未停止和隔離的裝置數目。 如果裝置離線或未連線到網路，這可能需要一些時間。

4. 選取任何狀態指標，以檢視動作的詳細資訊。 例如，選取 [失敗] 以查看動作失敗的位置。

裝置使用者通知

從裝置移除檔案時，會顯示下列通知：

在裝置時間表中，會針對檔案停止和隔離的每個裝置新增一個新事件。

在針對整個組織廣泛使用的檔案實作動作之前，會顯示警告。 這是為了驗證操作是否是預期的。

從隔離區還原檔案

如果您在調查後確定檔案是乾淨的，則可以復原並從隔離區中移除檔案。 在隔離檔案的每台裝置上執行下列命令。

1. 在裝置上開啟提高許可權的命令列提示字元：

   1. 轉至 [開始] 並鍵入「cmd」。

   2. 以滑鼠右鍵按一下 [命令提示字元]，然後選取 [以系統管理員身分執行]。

2. 輸入下列指令，然後按 Enter 鍵：

   "%ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -All
   

   注意事項

   在某些情況下， ThreatName 可能會顯示為：EUS：Win32/CustomEnterpriseBlock！cl。

   適用於端點的 Defender 會還原過去 30 天內在此裝置上隔離的所有自定義封鎖檔案。

下載或收集檔案

從回應動作中選取 下載檔案 可讓您下載包含檔案的本機、受密碼保護的 .zip 封存。 隨即出現飛出視窗，您可以在其中記錄下載檔案的原因，並設定密碼。

根據預設，您應該能夠下載隔離中的檔案。

下載檔案按鈕可以有下列狀態：

• 作用中 - 您可以收集檔案。

• 已停用 - 如果按鈕在作用中收集嘗試期間呈現灰色或停用，您可能沒有適當的 RBAC 權限來收集檔案。

  需要下列權限：

  針對 Microsoft Defender 全面偵測回應 統一角色型存取控制 (RBAC) ：

  • 在 Microsoft Defender 全面偵測回應 Unified (RBAC) 中新增檔案收集權限

  針對適用於端點的 Microsoft Defender角色型存取控制 (RBAC) ：

  對於可攜式可執行檔 (.exe、.sys、.dll 和其他)

  • 安全管理員或進階即時回應或警示

  非可攜式可執行檔 (.txt、.docx 和其他)

  • 安全管理員或進階即時回應
  • 已啟用 角色型存取權 (RBAC) 許可權 的租用戶

下載隔離的檔案

Microsoft Defender 防病毒軟體或您的安全性小組隔離的檔案會根據您的範例提交設定，以符合規範的方式儲存。 您的安全團隊可以透過「下載檔案」按鈕直接從檔案的詳細資料頁面下載檔案。 此功能預設為「開啟」。

位置取決於您組織的地理位置設定 (歐盟、英國或美國) 。 每個組織只會收集隔離的檔案一次。 從服務信任入口網站深入瞭解 Microsoft 的資料保護，網址為 https://aka.ms/STP。

開啟此設定可協助安全性小組檢查潛在的不良檔案，並以風險較小的方式快速調查事件。 不過，如果您需要關閉此設定，請移至 設定>端點>進階功能>下載隔離檔案 以調整設定。 進一步了解進階功能

備份隔離檔案

系統可能會提示使用者在備份隔離檔案之前提供明確同意，視您的 範例提交設定而定。

如果關閉範例提交，此功能將無法運作。 如果將自動範例提交設定為要求使用者的許可權，則只會收集使用者同意傳送的範例。

收集檔案

如果檔案尚未由適用於端點的 Microsoft Defender儲存，則無法下載它。 相反地，您會在同一位置看到 [收集檔案] 按鈕。

[ 收集檔案] 按鈕可以具有下列狀態：

• 作用中 - 您可以收集檔案。

• 已停用 - 如果按鈕在作用中收集嘗試期間呈現灰色或停用，您可能沒有適當的 RBAC 權限來收集檔案。

  需要下列權限：

  對於可攜式可執行檔 (.exe、.sys、.dll 和其他)

  • 安全管理員或進階即時回應或警示

  非可攜式可執行檔 (.txt、.docx 和其他)

  • 安全管理員或進階即時回應

如果在過去 30 天內未在組織中看到檔案，則會停用 收集檔案 。

新增指示器以封鎖或允許檔案

透過禁止潛在的惡意檔案或可疑的惡意軟體，防止攻擊在組織中進一步傳播。 如果您知道潛在的惡意可攜式可執行檔 (PE) 檔案，您可以封鎖它。 此作業可防止在組織中的裝置上讀取、寫入或執行它。

啟用封鎖檔案功能

要開始阻止文件，您首先需要在“設置”中 打開 “阻止或允許” 功能 。

允許或封鎖檔案

當您為檔案新增指標雜湊時，您可以選擇在組織中的裝置嘗試執行檔案時發出警示並封鎖該檔案。

指標自動封鎖的檔案不會顯示在檔案的 [控制中心] 中，但警示仍會顯示在 [警示] 佇列中。

請參閱 指標概觀， 以取得封鎖和引發檔案警示的詳細資訊。

若要停止封鎖檔案，請移除指示器。 您可以透過檔案設定檔頁面上的 「編輯指標 」動作來執行此操作。 在您新增指標之前，此動作會顯示在與「 新增指標」 動作相同的位置。

您也可以從「 設定」 頁面的「 規則>指標」下編輯指標。 指標按其文件的哈希列在此區域中。

檢查控制中心的活動詳細資料

控制中心提供對裝置或檔案所採取動作的相關資訊。 您可以檢視下列詳細資料：

• 調查套件收集
• 防毒掃描
• 應用程式限制
• 裝置隔離

還會顯示所有其他相關詳細資料，例如提交日期/時間、提交使用者，以及動作是否成功或失敗。

深入分析

網路安全調查通常由警報觸發。 警示與一或多個觀察到的檔案相關，這些檔案通常是新的或未知的。 選取檔案會帶您前往檔案檢視，您可以在其中查看檔案的中繼資料。 若要豐富與檔案相關的資料，您可以提交檔案進行深度分析。

深度分析功能會在安全、完全檢測的雲端環境中執行檔案。 深度分析結果顯示檔案的活動、觀察到的行為和相關成品，例如卸除的檔案、登錄修改以及與 IP 的通訊。 深度分析目前支援對可攜式可執行檔 (PE) 檔案的廣泛分析 (包括 ).exe 和 .dll 檔案。

對檔案進行深入分析需要幾分鐘。 檔案分析完成後，「深度分析」標籤會更新，以顯示摘要以及最新可用結果的日期和時間。

深度分析摘要包括觀察到的 行為清單（其中一些行為可能表示惡意活動）和 可觀察項目，包括已聯絡的 IP 和磁碟上建立的檔案。 如果找不到任何內容，這些區段會顯示簡短的訊息。

深度分析的結果會與威脅情報進行比對，任何相符項目都會產生適當的警示。

使用深度分析功能來調查任何檔案的詳細資料，通常是在調查警示期間，或出於您懷疑惡意行為的任何其他原因。 此功能位於檔案頁面的頂端。 選取三個點以存取 [深度分析] 動作。

在以下視頻中了解深度分析：

當適用於端點的 Defender 後端範例集合中提供檔案時，或在支援提交至深度分析的 Windows 10 裝置上觀察到檔案時，會啟用提交以進行深入分析。

如果在 Windows 10 裝置 (、Windows 11或 Windows Server 2012 R2+) 上未觀察到檔案，您也可以透過 Microsoft Defender 入口網站提交範例，並等待 [提交深入分析] 按鈕可供使用。

提交檔案進行深入分析

1. 選取您要提交以進行深入分析的檔案。 您可以從下列任何檢視中選取或搜尋檔案：

   • 警示 - 從警示案例時間軸的 「描述」 或 「詳細資料 」中選取檔案連結
   • 裝置清單 - 從組織中的裝置區段中的描述或詳細資料中選取檔案連結
   • 搜尋方塊 - 從下拉式功能表中選取 [檔案 ]，然後輸入檔案名稱

2. 在檔案檢視的 [深入分析] 索引標籤中，選取 [提交]。

   

   注意事項

   僅支援 PE 檔案，包括 .exe 和 .dll 檔案。 此外，不支援 Windows App Store 可執行檔。

   會顯示進度列，並提供分析不同階段的相關資訊。 然後，您可以在分析完成後檢視報告。

檢視深度分析報告

檢視提供的深度分析報告，以查看有關您提交的檔案的更深入見解。 此功能可在檔案檢視前後關聯中使用。

您可以檢視提供下列區段詳細資料的綜合報告：

• Behaviors
• 可觀察項目

提供的詳細資訊可以幫助您調查是否有潛在攻擊的跡象。

1. 選取您提交的檔案進行深入分析。

2. 選取 [深入分析] 索引標籤。如果有任何先前的報告，則報告摘要會顯示在此索引標籤中。

   

疑難排解深度分析

如果您在嘗試提交檔案時遇到問題，請嘗試下列每個疑難排解步驟。

1. 請確定有問題的檔案是 PE 檔案。 PE 檔案通常具有 .exe 或 .dll 副檔名 (可執行程式或應用程式) 。

2. 請確定服務可以存取檔案、檔案仍然存在，且尚未損毀或修改。

3. 稍等片刻，然後嘗試再次提交檔案。 佇列可能已滿，或發生暫時連線或通訊錯誤。

4. 如果未設定範例收集原則，則預設行為是允許範例收集。 如果已設定，請確認原則設定允許範例收集，再再次提交檔案。 設定範例集合時，請檢查下列登錄值：

   Path: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection
   Name: AllowSampleCollection
   Type: DWORD
   Hexadecimal value :
     Value = 0 - block sample collection
     Value = 1 - allow sample collection
   

5. 透過群組原則變更組織單位。 如需詳細資訊，請參閱使用群組原則進行設定。

6. 如果這些步驟無法解決問題，請連絡支援人員。

相關文章

• 在裝置上採取回應動作
• 調查檔案
• 適用於端點的 Microsoft Defender 方案 1 中的手動回應動作