Investigación de dominios y direcciones URL
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Investigue un dominio para ver si los dispositivos y servidores de la red empresarial se han estado comunicando con un dominio malintencionado conocido.
Puede investigar una dirección URL o dominio mediante la característica de búsqueda, desde la experiencia de incidente (en la pestaña evidencia o desde el artículo de alertas), desde la búsqueda avanzada, desde la página de correo electrónico y el panel lateral, o haciendo clic en la dirección URL o el vínculo de dominio desde la escala de tiempo del dispositivo.
Puede ver información de las secciones siguientes en la vista URL y dominio:
Detalles del dominio, información de contacto del solicitante de registro
Veredicto de Microsoft
Incidentes y alertas relacionados con esta dirección URL o dominio
Prevalencia de la dirección URL o dominio en la organización
Dispositivos observados más recientes con dirección URL o dominio
Correos electrónicos más recientes que contienen la dirección URL o el dominio
Clics más recientes en la dirección URL o dominio
Entidad de dominio
Puede pasar a la página de dominio desde los detalles del dominio en la página url o panel lateral, simplemente haga clic en el vínculo Ver página de dominio . La entidad de dominio muestra una agregación de todos los datos de las direcciones URL con el FQDN (nombre de dominio completo). Por ejemplo, si se observa un dispositivo que se comunica con sub.domain.tld/path1
y se observa que otro dispositivo se comunica con sub.domain.tld/path2
, cada dirección URL del dispositivo anterior mostrará una observación del dispositivo y el dominio mostrará las dos observaciones del dispositivo. En este caso, un dispositivo que se comunica con no se correlacionará con esta página de dominio, sino othersub.domain.tld
con othersub.domain.tld/path
.
Introducción a la dirección URL y el dominio
En la sección URL de todo el mundo se muestra la dirección URL, un vínculo a más detalles en whois, el número de incidentes abiertos relacionados y el número de alertas activas, el número de dispositivos afectados, los correos electrónicos y el número de clics de usuario observados.
Detalles de resumen de la dirección URL
Muestra la dirección URL original (información de dirección URL existente), con los parámetros de consulta y el protocolo de nivel de aplicación. A continuación encontrará los detalles completos del dominio, como la fecha de registro, la fecha de modificación y la información de contacto del solicitante de registro.
Veredicto de Microsoft de la dirección URL o dominio, una sección de prevalencia de dispositivos, correos electrónicos y clics del usuario. En esta área, puede ver el número de dispositivos que se comunicaron con la dirección URL o el dominio en los últimos 30 días y pivotar al primer o último evento de la escala de tiempo del dispositivo de inmediato. Para investigar el acceso inicial o si todavía hay una actividad malintencionada en el entorno.
Incidentes y alertas
La sección Incidentes y alertas muestra un gráfico de barras de todas las alertas activas en incidentes de los últimos 180 días.
Veredicto de Microsoft
En la sección Veredicto de Microsoft se muestra el veredicto de la dirección URL o el dominio de la biblioteca de Ti de Microsoft. Muestra si la dirección URL o el dominio ya se conoce como suplantación de identidad o entidad malintencionada.
Prevalencia
En la sección Prevalencia se proporcionan los detalles sobre la prevalencia de la dirección URL dentro de la organización, durante los últimos 30 días, como y el gráfico de tendencias, que muestra el número de dispositivos distintos que se comunicaron con la dirección URL o el dominio durante un período de tiempo específico. A continuación, puede encontrar detalles de las observaciones del primer y último dispositivo comunicadas con la dirección URL en los últimos 30 días, donde puede pivotar a la escala de tiempo del dispositivo de inmediato, para investigar el acceso inicial desde el vínculo phish o si todavía hay una comunicación malintencionada en su entorno.
Incidentes y alertas
La pestaña incidentes y alertas proporciona una lista de incidentes asociados a la dirección URL o el dominio. La tabla que se muestra aquí es una versión filtrada de los incidentes visible en la pantalla Cola de incidentes, que muestra solo los incidentes asociados a la dirección URL o el dominio, su gravedad, los recursos afectados y mucho más.
La pestaña Incidentes y alertas se puede ajustar para mostrar más o menos información; para ello, seleccione Personalizar columnas en el menú de acción situado encima de los encabezados de columna. El número de elementos mostrados también se puede ajustar seleccionando elementos por página en el mismo menú.
Dispositivos
La pestaña Dispositivos proporciona una vista cronológica de todos los dispositivos que se observaron para una dirección URL específica o un dominio. Esta pestaña incluye un gráfico de tendencias y una tabla personalizable que enumera los detalles del dispositivo, como el nivel de riesgo, el dominio y mucho más. Además, puede ver las primeras y últimas horas de eventos en las que el dispositivo interactuó con la dirección URL o el dominio, y el tipo de acción de este evento. Con el menú situado junto al nombre del dispositivo, puede girar rápidamente a la escala de tiempo del dispositivo para investigar aún más lo que ocurrió antes o después del evento que involucró esta dirección URL o dominio.
Aunque el período de tiempo predeterminado es de los últimos 30 días, puede personalizarlo en la lista desplegable disponible en la esquina de la tarjeta. El intervalo más corto disponible es para la prevalencia durante el último día, mientras que el intervalo más largo es en los últimos seis meses.
Con el botón exportar situado encima de la tabla, puede exportar todos los datos a un archivo .csv (incluida la primera y la última hora del evento y el tipo de acción), para realizar más investigaciones e informes.
Mensajes de correo electrónico
La pestaña Correos electrónicos proporciona una vista detallada de todos los correos electrónicos observados en los últimos 30 días que contenían la dirección URL o el dominio. Esta pestaña incluye un gráfico de tendencias y una tabla personalizable que enumera los detalles del correo electrónico, como asunto, remitente, destinatario, etc.
Clics
La pestaña Clics proporciona una vista detallada de todos los clics en la dirección URL o dominio observados en los últimos 30 días.
Investigación de una dirección URL o dominio
Seleccione URL en el menú desplegable de la barra de Búsqueda.
Escriba la dirección URL en el campo Búsqueda. Como alternativa, puede navegar a la dirección URL o dominio desde la pestaña Historia de ataques por incidentes, desde la escala de tiempo del dispositivo, a través de la búsqueda avanzada o desde el panel lateral del correo electrónico y la página.
Haga clic en el icono de búsqueda o presione Entrar. Se muestran detalles sobre la dirección URL.
Nota:
Búsqueda resultados solo se devolverán para las direcciones URL observadas en las comunicaciones desde dispositivos de la organización.
Use los filtros de búsqueda para definir los criterios de búsqueda. También puede usar el cuadro de búsqueda de escala de tiempo para filtrar los resultados mostrados de todos los dispositivos de la organización observados que se comunican con la dirección URL, el archivo asociado a la comunicación y la última fecha observada.
Hacer clic en cualquiera de los nombres de dispositivo le llevará a la vista de ese dispositivo, donde puede continuar investigando las alertas, los comportamientos y los eventos notificados. **
Si no está de acuerdo con el veredicto de una dirección URL o dominio, puede notificarlo a Microsoft como limpio, phishing o malintencionado seleccionando **Enviar a Microsoft para su análisis.
Artículos relacionados
- Ver y organizar la cola de alertas de Microsoft Defender para punto de conexión
- Administrar alertas de Microsoft Defender para punto de conexión
- Investigar alertas de Microsoft Defender para punto de conexión
- Investigación de un archivo asociado a una alerta de Microsoft Defender para punto de conexión
- Investigación de dispositivos en la lista de dispositivos Microsoft Defender para punto de conexión
- Investigación de una dirección IP asociada a una alerta de Microsoft Defender para punto de conexión
- Investigación de una cuenta de usuario en Microsoft Defender para punto de conexión
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.