Toimialueiden ja URL-osoitteiden tutkiminen

Koskee seuraavia:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender XDR

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Tutki toimialuetta ja tarkista, ovatko yrityksen verkon laitteet ja palvelimet kommunikoineet tunnetun haitallisen toimialueen kanssa.

Voit tutkia URL-osoitetta tai toimialuetta käyttämällä hakutoimintoa, tapauskokemuksesta (todistevälilehdessä tai ilmoitustarinassa), kehittyneestä metsästyksestä, sähköpostisivulta ja sivupaneelista tai napsauttamalla URL-osoitetta tai toimialueen linkkiä Laitteen aikajanalla.

Näet tiedot seuraavista URL-osoitteen ja toimialueen näkymän osioista:

• Toimialueen tiedot, rekisteröijän yhteystiedot

• Microsoftin tuomio

• Tähän URL-osoitteeseen tai toimialueeseen liittyvät tapaukset ja hälytykset

• URL-osoitteen tai toimialueen esiintyvyys organisaatiossa

• Viimeisimmät havaitut laitteet, joilla on URL-osoite tai toimialue

• Viimeisimmät URL-osoitteen tai toimialueen sisältävät sähköpostit

• Url-osoitteen tai toimialueen viimeisimmät napsautukset

Toimialueentiteetti

Voit pivotoida toimialuesivulle URL-sivun tai sivupaneelin toimialueen tiedoista napsauttamalla Näytä toimialuesivu - linkkiä. Toimialueentiteetti näyttää kaikkien URL-osoitteiden tietojen koostamisen täydellisellä toimialuenimellä (Täydellinen toimialuenimi). Jos esimerkiksi yhden laitteen havaitaan kommunikoivan -kohteen kanssa sub.domain.tld/path1ja toisen laitteen havaitaan kommunikoivan kohteen kanssa sub.domain.tld/path2, jokainen yllä oleva URL-osoite näyttää yhden laitehavainnon, ja toimialue näyttää kaksi laitehavaintoa. Tässä tapauksessa laite, jonka kanssa viestittiin, ei korreloi tämän toimialuesivun kanssa othersub.domain.tld/path , vaan kohteeseen othersub.domain.tld.

URL-osoitteen ja toimialueen yleiskatsaus

Maailmanlaajuinen URL-osoite sisältää URL-osoitteen, linkin lisätietojin whois-osoitteessa, liittyvien avointen tapausten määrän, aktiivisten hälytysten määrän, asianomaisten laitteiden määrän, sähköpostiviestit ja havaittujen käyttäjien napsautusten määrän.

URL-yhteenvedon tiedot

Näyttää alkuperäisen URL-osoitteen (olemassa olevat URL-tiedot) sekä kyselyparametrit ja sovellustason protokollan. Alla on täydelliset toimialueen tiedot, kuten rekisteröintipäivämäärä, muokkauspäivämäärä ja rekisteröijän yhteystiedot.

Microsoftin päätös URL-osoitteesta tai toimialueessa, laitteiden esiintyvyydestä, sähköpostiviestejä ja käyttäjän napsautuksia käsittelevästä osiosta. Tällä alueella voit nähdä URL-osoitteen tai toimialueen kanssa kommunikoineiden laitteiden määrän viimeisten 30 päivän aikana ja siirtyä heti laitteen aikajanan ensimmäiseen tai viimeiseen tapahtumaan. Tutkiaksesi ensimmäistä käyttöoikeutta tai onko ympäristössäsi edelleen haitallista toimintaa.

Tapaukset ja hälytykset

Tapaus ja hälytykset -osiossa näkyy palkkikaavio kaikista aktiivisista hälytyksistä tapahtumissa viimeisten 180 päivän ajalta.

Microsoftin tuomio

Microsoftin tuomio -osiossa näytetään URL-osoitteen tai toimialueen tuomio Microsoft TI -kirjastosta. Se näyttää, tunnetaanko URL-osoite tai toimialue jo tietojenkalasteluna vai pahantahtoisena entiteettinä.

Levinneisyys

Esiintyvyys-osio sisältää tietoja URL-osoitteen esiintyvyydestä organisaatiossa viimeisten 30 päivän aikana, kuten ja trendikaavion – joka näyttää URL-osoitteen tai toimialueen kanssa kommunikoineiden eri laitteiden määrän tietyn ajanjakson aikana. Alla on tietoja laitteen ensimmäisistä havainnoista, jotka on välitetty URL-osoitteen kanssa viimeisten 30 päivän aikana ja joissa voit siirtyä laitteen aikajanaan heti, tutkia alustavaa käyttöä tietojenkalastelulinkistä tai jos ympäristössäsi on edelleen haitallista tietoliikennettä.

Tapahtumat ja hälytykset

Tapaus- ja hälytykset-välilehdessä on luettelo tapauksista, jotka liittyvät URL-osoitteeseen tai toimialueeseen. Tässä näkyvä taulukko on suodatettu versio tapauksista, jotka näkyvät Tapahtumajono-näytössä, ja joka näyttää vain URL-osoitteeseen tai toimialueeseen liittyvät tapaukset, niiden vakavuuden, vaikutusvarat ja paljon muuta.

Tapaukset ja hälytykset -välilehteä voidaan säätää näyttämään enemmän tai vähemmän tietoja valitsemalla Sarakeotsikoiden yläpuolella olevasta toimintovalikosta Mukauta sarakkeita . Näytettävien kohteiden määrää voidaan myös säätää valitsemalla samassa valikossa kohteita sivulla.

Laitteet

Laitteet-välilehdessä on kronologinen näkymä kaikista laitteista, jotka on havaittu tietyssä URL-osoitteessa tai toimialueessa. Tämä välilehti sisältää trendikaavion ja mukautettavan taulukon, jossa luetellaan laitteen tiedot, kuten riskitaso, toimialue ja paljon muuta. Sen lisäksi näet ensimmäisen ja viimeisen tapahtuma-ajan, jolloin laite oli vuorovaikutuksessa URL-osoitteen tai toimialueen kanssa, sekä tämän tapahtuman toimintotyypin. Laitteen nimen vieressä olevan valikon avulla voit nopeasti pivotoida laitteen aikajanaan tutkiaksesi tarkemmin, mitä tapahtui ennen tai jälkeen tapahtuman, joka liittyi tähän URL-osoitteeseen tai toimialueeseen.

Vaikka oletusaika on viimeiset 30 päivää, voit mukauttaa tätä kortin kulmassa olevasta avattavasta valikosta. Lyhin saatavilla oleva alue on levinneisyys viimeisen päivän aikana, kun taas pisin alue on viimeisten kuuden kuukauden aikana.

Taulukon yläpuolella olevan Vienti-painikkeen avulla voit viedä kaikki tiedot .csv -tiedostoon (mukaan lukien ensimmäisen ja viimeisen tapahtuman aika ja toimintotyyppi) lisätutkimuksia ja raportointia varten.

Sähköpostit

Sähköpostit-välilehti tarjoaa yksityiskohtaisen näkymän kaikista viimeisen 30 päivän aikana havaituista sähköposteista, jotka sisälsivät URL-osoitteen tai toimialueen. Tämä välilehti sisältää trendikaavion ja mukautettavan taulukon, jossa on sähköpostin tiedot, kuten aihe, lähettäjä, vastaanottaja ja paljon muuta.

Napsautuksia

Napsautukset-välilehdessä on yksityiskohtainen näkymä kaikista viimeisen 30 päivän aikana havaituista URL-osoitteen tai toimialueen napsautuksista.

URL-osoitteen tai toimialueen tutkiminen

1. Valitse URL Hakupalkin avattavasta valikosta.

2. Kirjoita URL-osoite Haku-kenttään. Vaihtoehtoisesti voit siirtyä URL-osoitteeseen tai toimialueeseen Incident attack story -välilehdestä, laitteen aikajanaltakehittyneen metsästyksen kautta tai sähköpostin sivupaneelista ja sivulta.

3. Napsauta hakukuvaketta tai paina Enter-näppäintä. URL-osoitteen tiedot näytetään.

   Huomautus

   Haku tulokset palautetaan vain organisaation laitteiden viestinnässä havaituille URL-osoitteille.

4. Määritä hakuehdot hakusuodattimien avulla. Voit myös käyttää aikajanan hakuruutua suodattaaksesi kaikkien organisaation laitteiden näyttämät tulokset, jotka on havaittu kommunikoimassa URL-osoitteen kanssa, viestintään liittyvä tiedosto ja viimeinen havaittu päivämäärä.

5. Kun napsautat mitä tahansa laitenimeä, siirryt kyseisen laitteen näkymään, jossa voit jatkaa ilmoitettujen ilmoitusten, käyttäytymisen ja tapahtumien tutkimista. **

6. Jos olet eri mieltä URL-osoitteen tai toimialueen tuomiosta, voit ilmoittaa sen Microsoftille puhtaana, tietojenkalasteluna tai pahantahtoisena valitsemalla **Lähetä Microsoftille analyysia varten.

Aiheeseen liittyviä artikkeleita

• Microsoft Defender for Endpoint ilmoitusjonon tarkasteleminen ja järjestäminen
• Microsoft Defender for Endpoint ilmoitusten hallinta
• Microsoft Defender for Endpoint ilmoitusten tutkiminen
• Microsoft Defender for Endpoint-ilmoituksiin liittyvän tiedoston tutkiminen
• Microsoft Defender for Endpoint Laitteet-luettelon laitteiden tutkiminen
• Microsoft Defender for Endpoint-ilmoituksiin liittyvän IP-osoitteen tutkiminen
• Käyttäjätilin tutkiminen Microsoft Defender for Endpoint

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.