Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Быстрое реагирование на обнаруженные атаки путем остановки и карантина файлов или блокировки файла. После выполнения действий с файлами можно проверить подробности действий в Центре действий.
Ответные действия доступны на странице подробных сведений о файле. На этой странице можно переключаться между новым и старым вариантами оформления с помощью переключателя Новая страница «Файл». В следующих разделах описывается более новый макет страницы.
Действия ответа выполняются в верхней части страницы файла и включают:
- Остановить и поместить файл в карантин
- Управление индикатором
- Скачивание файла
- Собрать файл
- Спросите экспертов Defender
- Действия, выполняемые вручную
- Иди на охоту
- Подробный анализ
Примечание.
Если вы используете Defender для конечной точки плана 1, вы можете выполнить определенные действия по реагированию вручную. Дополнительные сведения см. в разделе Действия реагирования вручную.
Вы также можете отправить файлы для глубокого анализа, чтобы запустить файл в безопасной облачной песочнице. После завершения анализа вы получите подробный отчет, который содержит сведения о поведении файла. Вы можете отправлять файлы для глубокого анализа и читать прошлые отчеты, выбрав действие Глубокий анализ .
Для некоторых действий требуются определенные разрешения. В следующей таблице описано, какие действия могут выполняться определенными разрешениями для переносимых исполняемых файлов (PE) и файлов, отличных от PE:
| Разрешение | PE-файлы | Не-PE-файлы |
|---|---|---|
| Просмотр данных | X | X |
| Исследование оповещений | ☑ | X |
| Базовое оперативное реагирование | X | X |
| Расширенное оперативное реагирование | ☑ | ☑ |
Дополнительные сведения о ролях см. в статье Создание ролей и управление ими для управления доступом на основе ролей.
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Остановка и помещение на карантин файлов в сети
Вы можете сдержать атаку в организации, остановив вредоносный процесс и заключив в карантин файл, в котором она была обнаружена.
Важно!
Вы можете выполнить действие Остановить и поместить файл в карантин только в следующих случаях:
- Устройство, на котором выполняется действие, работает Windows 10 версии 1703 или более поздней, Windows 11 и Windows Server 2012 R2+
- Файл не принадлежит доверенным издателям сторонних поставщиков или не подписан корпорацией Майкрософт.
- Microsoft Defender антивирусная программа должна по крайней мере работать в пассивном режиме. Дополнительные сведения см. в разделе совместимость антивирусной программы Microsoft Defender.
Действие Остановить и поместить файл в карантин включает остановку запущенных процессов, помещение файлов в карантин и удаление постоянно хранимых данных, таких как ключи реестра.
Действие "Файл остановки и карантина" действует на устройствах с Windows 10 версии 1703 или более поздней версии, а также Windows 11 и Windows Server 2012 R2 или более поздней версии, где файл наблюдался за последние 30 дней.
Примечание.
Вы сможете восстановить файл из карантина в любое время.
Остановить и поместить файлы в карантин
Выберите файл, который нужно остановить и поместить в карантин. Вы можете выбрать файл из любого из следующих представлений или использовать поле Поиск:
- Оповещения — выберите соответствующие ссылки в описании или сведениях на временной шкале истории оповещения
- Поле поиска — выберите Файл в раскрывающемся меню и введите имя файла.
Примечание.
Действие стоп-файла и карантина ограничено не более чем 1000 устройствами. Чтобы заблокировать файл на большем числе устройств, см. Добавление индикатора для блокировки или разрешения файла.
Для действия "Остановка и карантин" максимальный период ожидания составляет 3 дня. Если целевое устройство остается в автономном режиме дольше этого периода после инициирования действия, действие не будет доставлено на это устройство.
Чтобы файл оставался заблокированным после истечения времени ожидания или после завершения действия, рекомендуется создать индикатор для явной блокировки файла.На верхней панели выберите Остановить файл и поместить его в карантин.
Укажите причину, а затем выберите Подтвердить.
В центре уведомлений отображается информация об отправке:
- Время отправки — показывает, когда было отправлено действие.
- Успешно — показывает количество устройств, на которых файл был остановлен и помещен в карантин.
- Сбой — показывает количество устройств, на которых произошел сбой действия, и сведения о сбое.
- Ожидание — показывает количество устройств, на которых файл еще не остановлен и помещен в карантин. Это может занять время в случаях, когда устройство находится в автономном режиме или не подключено к сети.
Выберите любой из индикаторов состояния, чтобы просмотреть дополнительные сведения о действии. Например, выберите Сбой , чтобы увидеть, где произошел сбой действия.
Уведомление пользователя устройства
При удалении файла с устройства отображается следующее уведомление:
В временная шкала устройства добавляется новое событие для каждого устройства, на котором файл был остановлен и помещен в карантин.
Перед реализацией действия для файлов, широко используемых в организации, отображается предупреждение. Это предупреждение помогает убедиться, что операция выполняется намеренно.
Восстановление файла из карантина
Вы можете восстановить файл из карантина, если по результатам проверки вы определили, что он безопасен. Выполните следующую команду на каждом устройстве, где файл был помещен в карантин.
В командной строке с повышенными привилегиями (окно командной строки, открытое путем выбора запуска от имени администратора) выполните следующие команды:
Совет
Первая команда изменяет каталог на последнюю версию платформы< защиты от вредоносных >программ в %ProgramData%\Microsoft\Windows Defender\Platform\<antimalware platform version>. Если этот путь не существует, он отправляется в %ProgramFiles%\Windows Defender.
(set "_done=" & if exist "%ProgramData%\Microsoft\Windows Defender\Platform\" (for /f "delims=" %d in ('dir "%ProgramData%\Microsoft\Windows Defender\Platform" /ad /b /o:-n 2^>nul') do if not defined _done (cd /d "%ProgramData%\Microsoft\Windows Defender\Platform\%d" & set _done=1)) else (cd /d "%ProgramFiles%\Windows Defender")) >nul 2>&1
MpCmdRun.exe -Restore -Name EUS:Win32/CustomEnterpriseBlock -All
Дополнительные сведения о MpCmdRun см. в статье Настройка и управление Microsoft Defender антивирусной программы с помощью программы командной строки MpCmdRun.
Примечание.
В некоторых сценариях threatName может выглядеть следующим образом: EUS:Win32/CustomEnterpriseBlock!cl.
Defender для конечных точек восстанавливает все настраиваемые заблокированные файлы, помещённые в карантин на этом устройстве за последние 30 дней.
Файлы, помещенные в карантин из-за предполагаемой сетевой угрозы, могут не подлежать восстановлению. Этот тип файла может быть недоступен в карантине из-за отсутствия учетных данных сети или маркеров с истекшим сроком действия при временном входе.
Скачивание или сбор файла
Выбрав Скачать файл из действий ответа, вы сможете скачать локальный защищенный паролем .zip архив, содержащий файл. Появится всплывающее окно, в котором можно записать причину скачивания файла и задать пароль.
По умолчанию вы сможете скачивать файлы, которые находятся в карантине.
Кнопка Скачать файл может иметь следующие состояния:
Активный — вы можете собрать файл.
Отключено . Если кнопка неактивна или отключена во время активной попытки сбора, возможно, у вас нет соответствующих разрешений RBAC на сбор файлов. Требуются следующие разрешения:
- Microsoft Defender Единое управление доступом на основе ролей (RBAC):
- Добавление разрешения на сбор файлов в Microsoft Defender Unified (RBAC)
- Управление доступом на основе ролей (RBAC) в Microsoft Defender для конечной точки:
- Переносимые исполняемые файлы (.exe, .sys, .dll и т. д.):
- Администратор безопасности или расширенный интерактивный ответ или оповещения
- Непереносимый исполняемый файл (.txt, .docx и др.):
- Администратор безопасности или расширенный интерактивный отклик
- Арендаторы, у которых включены разрешения на основе ролевого доступа (RBAC)
- Переносимые исполняемые файлы (.exe, .sys, .dll и т. д.):
- Microsoft Defender Единое управление доступом на основе ролей (RBAC):
Важно!
С 16 февраля 2025 г. новые клиенты Microsoft Defender для конечной точки будут иметь доступ только к унифицированному управлению доступом на основе ролей (URBAC). Существующие клиенты сохраняют свои текущие роли и разрешения. Дополнительные сведения см. в статье Единое управление доступом на основе ролей (URBAC) в Microsoft Defender для конечной точки.
Скачивание файлов в карантине
Файлы, помещенные в карантин антивирусом Microsoft Defender или вашей группой безопасности, сохраняются в соответствии с вашими параметрами отправки образцов. Ваша команда безопасности может скачать файлы непосредственно со страницы сведений о файле с помощью кнопки "Скачать файл". Функция скачивания файла включена по умолчанию.
Расположение зависит от географических параметров вашей организации (ЕС, Великобритания или США). Файл, помещенный в карантин, собирается только один раз для каждой организации. Дополнительные сведения о защите данных Майкрософт см. на портале Service Trust Portal по адресу https://aka.ms/STP.
Включение параметра загрузки файлов в карантин может помочь командам безопасности изучить потенциально плохие файлы и быстро изучить инциденты и менее рискованным способом. Однако если вам нужно отключить этот параметр, перейдите в раздел Параметры>Конечные точки>Дополнительные функции>Скачать файлы в карантине , чтобы настроить параметр. Дополнительные сведения см. в разделе Дополнительные функции.
Резервное копирование файлов, помещенных в карантин
Пользователям может быть предложено дать явное согласие перед созданием резервной копии файла, помещённого в карантин, в зависимости от параметров отправки образцов.
Функция скачать файлы из карантина не работает, если отправка образцов отключена. Если настроена автоматическая отправка образца для запроса разрешения у пользователя, собираются только те примеры, которые пользователь соглашается отправить.
Важно!
Требования для скачивания файла, помещенного в карантин:
- Ваша организация использует антивирусную программу Microsoft Defender в активном режиме
- Антивирусная подсистема — 1.1.17300.4 или более поздняя. См. Ежемесячные версии платформы и движка
- Облачная защита включена. См . статью Включение облачной защиты
- Отправка примера включена
- Клиентские устройства должны работать Windows 11 или Windows 10 версии 1703 или более поздней.
- Серверные устройства должны работать под управлением ОС Windows Server 2016 или более поздней версии либо Azure Stack HCI OS версии 23H2 или более поздней версии.
Сбор файлов
Если файл еще не хранится Microsoft Defender для конечной точки, его невозможно скачать. Вместо этого вы увидите кнопку Собрать файл в том же расположении.
Кнопка Собрать файл может иметь следующие состояния:
Активный — вы можете собрать файл.
Отключено . Если кнопка неактивна или отключена во время активной попытки сбора, возможно, у вас нет соответствующих разрешений RBAC на сбор файлов.
Требуются следующие разрешения:
Для переносимого исполняемого файла (.exe, .sys, .dll и т. д.)
- Администратор безопасности или расширенный интерактивный ответ или оповещения
Непереносимый исполняемый файл (.txt, .docx и т. д.)
- Администратор безопасности или расширенный интерактивный отклик
Если файл не обнаруживался в организации в течение последних 30 дней, Собрать файл недоступно.
Важно!
Файл, который был помещен в карантин как потенциальная сетевая угроза, может быть не восстановлен. Если пользователь пытается восстановить файл после карантина, этот файл может быть недоступен. Это может быть связано с тем, что система больше не имеет сетевых учетных данных для доступа к файлу. Как правило, это происходит в результате временного входа в системную или общую папку и истечения срока действия маркеров доступа.
Добавление индикатора для блокировки или разрешения файла
Предотвращение дальнейшего распространения атаки в организации путем запрета потенциально вредоносных файлов или подозрительных вредоносных программ. Если вы знаете потенциально вредоносный переносимый исполняемый файл (PE), его можно заблокировать. Блокировка файла предотвращает чтение, запись или выполнение на устройствах в организации.
Важно!
Функция Блокировать или разрешать доступна, если ваша организация использует антивирус Microsoft Defender и включена облачная защита. Дополнительные сведения см. в статье Управление облачной защитой.
Версия клиента защиты от вредоносных программ должна быть 4.18.1901.x или более поздней.
Функция блокировки или разрешения предназначена для предотвращения загрузки подозрительных вредоносных программ (или потенциально вредоносных файлов) из Интернета. Он поддерживает файлы переносимого исполняемого формата (PE), включая файлы .exe и .dll. Поддержка дополнительных типов файлов будет расширена с течением времени.
Действие "Блокировать" или "Разрешить ответ" доступно для устройств в Windows 10 версии 1703 или более поздней версии и Windows 11.
Функция allow или block не может быть выполнена для файлов, если классификация файла существует в кэше устройства до действия разрешения или блокировки.
Примечание.
PE-файл должен находиться на временной шкале устройства, чтобы вы могли выполнить это действие.
Между временем выполнения действия и фактическим заблокированным файлом может потребоваться несколько минут задержки.
Включить функцию блокировки файлов
Чтобы начать блокировку файлов, сначала необходимо включить функцию Блокировать или разрешить в параметрах.
Разрешить или заблокировать файл
При добавлении хэша индикатора для файла можно создать оповещение и заблокировать файл каждый раз, когда устройство в вашей организации пытается запустить его.
Файлы, автоматически заблокированные индикатором, не отображаются в Центре уведомлений файла, но оповещения по-прежнему видны в очереди оповещений.
Дополнительные сведения о блокировке и повышении оповещений о файлах см. в разделе Обзор индикаторов.
Чтобы остановить блокировку файла, удалите индикатор. Индикатор можно удалить с помощью действия "Изменить индикатор " на странице профиля файла. Действие "Изменить индикатор" отображается в той же позиции, что и действие "Добавить индикатор ", прежде чем добавить индикатор.
Вы также можете редактировать индикаторы на странице Параметры в разделе Правила>Индикаторы. Индикаторы перечислены на странице Правила>Индикаторы по хэшу файла.
Просмотрите сведения о действиях в Центре уведомлений
Центр уведомлений предоставляет сведения о действиях, выполненных с устройством или файлом. Вы можете просмотреть следующие сведения:
- Набор пакетов для расследования
- Антивирусная проверка
- Ограничение приложения
- Изоляция устройства
Также отображаются все другие связанные сведения, такие как дата и время отправки, отправляющий пользователь, а также сведения о том, успешно ли выполнено действие.
Подробный анализ
Исследования кибербезопасности обычно инициируются оповещением. Оповещения связаны с одним или несколькими наблюдаемых файлами, которые часто являются новыми или неизвестными. При выборе файла вы перейдете в представление файла, где можно просмотреть метаданные файла. Чтобы дополнить данные, связанные с файлом, можно отправить файл для глубокого анализа.
Функция глубокого анализа выполняет файл в безопасной, полностью инструментированной облачной среде. Результаты глубокого анализа показывают действия файла, наблюдаемое поведение и связанные артефакты, такие как удаленные файлы, изменения реестра и взаимодействие с IP-адресами. Глубокий анализ поддерживает обширный анализ переносимых исполняемых файлов (PE) (включая .exe и .dll файлы).
Глубокий анализ файла занимает несколько минут. После завершения анализа файлов вкладка Глубокий анализ обновится, чтобы отобразить сводку, а также дату и время последних доступных результатов.
Сводка результатов углублённого анализа содержит список наблюдаемых действий, некоторые из которых могут указывать на вредоносную активность, и наблюдаемых артефактов, включая IP-адреса, с которыми устанавливалось соединение, и файлы, созданные на диске. Если ничего не найдено, разделы "Поведение" и "Наблюдаемые" отображают краткое сообщение.
Результаты глубокого анализа сопоставляются с аналитикой угроз, и все совпадения создают соответствующие оповещения.
Используйте функцию глубокого анализа для изучения сведений о любом файле, как правило, во время исследования оповещения или по любой другой причине, когда вы подозреваете вредоносное поведение. Функция глубокого анализа доступна в верхней части страницы файла. Выберите три точки, чтобы получить доступ к действию Глубокий анализ .
Сведения о глубоком анализе см. в следующем видео:
Отправка на глубокий анализ доступна, если файл есть в серверной коллекции образцов Microsoft Defender for Endpoint или если он был обнаружен на устройстве с Windows 10, которое поддерживает отправку на глубокий анализ.
Примечание.
Автоматически собирать можно только файлы из Windows 10, Windows 11 и Windows Server 2012 R2+.
Вы также можете отправить пример на портале Microsoft Defender, если файл не был замечен на Windows 10 устройстве (или Windows 11 или Windows Server 2012 R2+), и дождаться появления кнопки Отправить для глубокого анализа.
Примечание.
Из-за потоков обработки серверной части на портале Microsoft Defender задержка между отправкой файлов и доступностью функции глубокого анализа в Defender для конечной точки может составлять до 10 минут.
Отправка файлов для глубокого анализа
Чтобы отправить файл для глубокого анализа, выполните следующие действия.
Выберите файл, который нужно отправить для глубокого анализа. Вы можете выбрать файл или выполнить поиск в любом из следующих представлений:
- Оповещения — выберите ссылки на файлы в Описании или Сведениях на временной шкале истории оповещения
- Список устройств — выберите ссылки на файл в разделе Описание или Сведения в разделе Устройство в организации .
- Поле поиска — выберите Файл в раскрывающемся меню и введите имя файла.
На вкладке Глубокий анализ в представлении файлов нажмите кнопку Отправить.
Примечание.
Поддерживаются только PE-файлы, включая файлы .exe и .dll. Кроме того, исполняемые файлы приложение для Windows Store не поддерживаются.
Отображается индикатор выполнения, в котором содержатся сведения о различных этапах анализа. Затем вы можете просмотреть отчет по завершении анализа.
Примечание.
В зависимости от доступности устройства время сбора примеров может отличаться. Существует 3-часовое время ожидания для сбора примеров. Сбор данных завершится ошибкой, а отправка результатов углублённого анализа будет прервана, если в этот момент не будет ни одного подключённого к сети устройства под управлением Windows 10 (или Windows 11 либо Windows Server 2012 R2+), которое отправляет данные. Вы можете повторно отправить файлы для глубокого анализа, чтобы получить свежие данные о файле.
Просмотр отчетов глубокого анализа
Просмотрите предоставленный отчет о глубоком анализе, чтобы просмотреть более подробные сведения о отправленном файле. Отчет глубокого анализа доступен в контексте представления файлов.
Вы можете просмотреть полный отчет, который содержит подробные сведения о следующих разделах:
- Поведение
- Наблюдаемые объекты
Предоставленные сведения помогут вам выяснить, есть ли признаки потенциальной атаки.
Выберите файл, отправленный для глубокого анализа.
Перейдите на вкладку Глубокий анализ . Если есть какие-либо предыдущие отчеты, на этой вкладке отображается сводка отчета.
Устранение неполадок при глубоком анализе
Если при попытке отправить файл возникла проблема, попробуйте выполнить каждое из следующих действий по устранению неполадок.
Убедитесь, что рассматриваемый файл является PE-файлом. Pe-файлы обычно имеют расширения.exe или .dll (исполняемые программы или приложения).
Убедитесь, что служба имеет доступ к файлу, что он по-прежнему существует и не был поврежден или изменен.
Подождите некоторое время и попробуйте отправить файл еще раз. Очередь может быть заполнена, или возникла временная ошибка подключения или связи.
Если политика сбора образцов не настроена, то по умолчанию сбор образцов разрешен. Если он настроен, убедитесь, что параметр политики разрешает сбор примеров перед отправкой файла еще раз. После настройки сбора образцов проверьте следующее значение реестра:
Path: HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection Name: AllowSampleCollection Type: DWORD Hexadecimal value : Value = 0 - block sample collection Value = 1 - allow sample collectionИзмените организационную единицу с помощью групповой политики. Дополнительные сведения см. в разделе Настройка с помощью групповой политики.
Если эти действия не помогли устранить проблему, обратитесь в службу поддержки.