檢視次數:
已識別的檔案是指已被發現為惡意程式或包含惡意程式的檔案,因此已被加密並移動到受保護電腦上的特殊資料夾中。中毒檔案是否可以查看和還原取決於惡意程式防護的配置以及發現該檔案的作業系統:
如需了解遇到惡意程式時生成的事件資訊,請參閱惡意程式防護事件

查看已識別檔案清單 上層主題

事件和報告頁面提供已識別文件的列表。從那裡,您可以查看任何這些文件的詳細信息。

步驟

  1. 點選 Events & Reports > Events > Anti-Malware Events > Identified Files.
  2. 要查看檔案的詳細資訊,請選取檔案並點選View

接下來需執行的動作

已識別檔案的列表包括以下資訊欄:
  • Infected File: 顯示中毒檔案的名稱和具體的安全風險。
  • Malware: 命名惡意程式感染。
  • Computer: 表示疑似感染的電腦名稱。
詳細資料視窗提供以下資訊:
  • Detection Time: 中毒電腦檢測到感染的日期和時間。
  • Infected File(s): 中毒檔案的名稱。
  • File SHA-1: 檔案的 SHA-1 雜湊值。
  • Malware: 發現的惡意程式名稱。
  • Scan Type: 表示是否由即時、排程或手動掃瞄偵測到惡意程式。
  • Action Taken: 當偵測到惡意程式時,Server & Workload Security保護 採取中毒處理行動的結果。
  • Computer: 發現此檔案的電腦防護。(如果該電腦防護已被移除,此項將顯示「未知電腦防護」。)
  • Container Name: 發現惡意程式的 Docker 容器名稱。
  • Container ID: 發現惡意程式的 Docker 容器 ID。
  • Container Image Name: 發現惡意程式的 Docker 容器映像檔名稱。

處理已識別的檔案 上層主題

Identified Files 頁面允許您管理與已識別檔案相關的任務。使用選單列或右鍵點選內容選單,您可以:
  • anti_malware_restore_quarantine_file=85554c91-00a0-4d05-a30c-0bfe0d6139f9.png
    還原 已將檔案恢復到其原始位置資訊和狀態。
  • anti_malware_quarantine_file_download=25f7c116-f13e-43b2-85da-522f0ddd848b.png
    Download 從電腦防護或虛擬裝置識別檔案到您選擇的位置資訊。
  • delete=c0ff9d68-0db4-49f0-a73e-eb72b5c90ac8.png
    刪除 從電腦防護或虛擬裝置中識別出的一個或多個檔案。
  • export=d51798dc-3e46-4bfe-be06-0c88fb46bc2b.png
    Export 有關已識別檔案的資訊(而非檔案本身)到 CSV 檔案。
  • details=6adf47dd-913c-4586-8dcf-b57640800e39.png
    View 已識別檔案的詳細資訊。
  • details=6adf47dd-913c-4586-8dcf-b57640800e39.png
    Computer Details 顯示偵測到惡意程式的電腦防護畫面。
  • details=6adf47dd-913c-4586-8dcf-b57640800e39.png
    View Anti-Malware Event 顯示與此已識別檔案相關的惡意程式防護事件。
  • columns=7c59c262-342d-4e3e-8181-0ea30819ac11.png
    Add or Remove Columns,點擊Add/Remove.
  • search=c4ee7ed0-2061-4bc7-a121-fb9a678e7dad.png
    Search 針對特定識別的檔案。

搜尋已識別的檔案 上層主題

  • 使用Period下拉選單來查看僅在特定時間範圍內識別的檔案。
  • 使用 Computers 下拉選單按電腦防護群組或電腦防護政策來整理檔案。
  • 點選 Search this page Open Advanced Search 以切換顯示進階搜尋選項:
2016-07-08_000132_DS10=c9267b0f-9ecd-426b-859f-52ee6f210683.png
進階搜尋包括一個或多個搜尋條件,用於正在過濾已識別的檔案。每個條件都是由以下項目組成的邏輯陳述:
  • 識別檔案的特徵以進行篩選,例如檔案類型(中毒檔案或惡意程式)或受影響的電腦防護。
  • 操作員:
    • Contains: 選定欄位中的項目包含搜尋字串。
    • Does Not Contain: 選定欄位中的項目不包含搜尋字串。
    • Equals: 選定欄位中的項目與搜尋字串完全相符。
    • Does Not Equal: 選定欄位中的項目與搜尋字串不完全相符。
    • In: 選定欄位中的項目完全符合逗號分隔的搜尋字串項目之一。
    • Not In: 選定欄位中的項目與任何逗號分隔的搜尋字串項目都不完全匹配。
  • 一個值。
要新增條件,請點選頂端條件右側的「加號」按鈕(+)。要搜尋,請點選搜尋按鈕(圓形箭頭)。
注意
注意
搜尋不區分大小寫。

還原已識別的檔案 上層主題

為該檔案建立掃瞄例外 上層主題

在您還原檔案到其原始位置之前,您必須建立掃瞄例外,以防止Server & Workload Security保護在檔案重新出現在電腦防護時立即重新識別該檔案。
注意
注意
以下說明描述了如何在單個電腦防護上為檔案建立排除,但您也可以在政策層級進行相同的配置更改。

步驟

  1. 打開電腦頁面,然後前往Anti-Malware Identified Files,並雙擊已識別的檔案以查看其屬性。
  2. 請記下檔案的確切名稱和原始位置資訊。
  3. 仍在電腦頁面,前往Anti-Malware General,點選每個正在執行的惡意程式掃瞄旁邊的編輯按鈕,以開啟惡意程式掃瞄配置屬性視窗。
    2016-07-07_000116_DS10=af586859-d7b0-4616-9138-33f0fc39a564.png
  4. Malware Scan Configuration 屬性視窗中,點選 Exclusions 分頁。
  5. Scan Exclusions區域中,選擇File List,然後如果已經選擇了文件列表,請按編輯,或者從菜單中選擇New來創建新的文件列表。
  6. File List 屬性視窗中,輸入要還原的檔案路徑和檔案名稱。點選 確定 以關閉檔案清單屬性視窗。
    2016-07-08_000124_DS10=a75bc0b3-fcb5-46a7-9a7f-44debf4a0ae8.png
  7. 通過點擊確定關閉Malware Scan Configuration屬性窗口。
  8. 當您編輯完所有Malware Scan Configurations後,請在電腦頁面點選儲存以保存您的更改。您現在可以還原您的檔案。

還原檔案 上層主題

步驟

  1. 仍在電腦頁面,轉到Anti-Malware Identified Files標籤。
  2. 右鍵點選已識別的檔案,然後選擇Actions Restore,並按照精靈中的步驟進行操作。

接下來需執行的動作

您的檔案已恢復到其原始位置資訊。