Undersøke domener og nettadresser

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Undersøk et domene for å se om enhetene og serverne i bedriftsnettverket har kommunisert med et kjent ondsinnet domene.

Du kan undersøke en nettadresse eller et domene ved hjelp av søkefunksjonen, fra hendelsesopplevelsen (i bevisfanen eller fra varslingsartikkelen), fra avansert jakt, fra e-postsiden og sidepanelet, eller ved å klikke nettadressen eller domenekoblingen fra enhetens tidslinje.

Du kan se informasjon fra følgende deler i nettadresse- og domenevisningen:

• Domenedetaljer, kontaktinformasjon for registrant

• Microsoft-dom

• Hendelser og varsler relatert til denne NETTADRESSEn eller dette domenet

• Utbredelse av nettadressen eller domenet i organisasjonen

• Nyeste observerte enheter med nettadresse eller domene

• De nyeste e-postmeldingene som inneholder nettadressen eller domenet

• Siste klikk på URL-adressen eller domenet

Domeneenhet

Du kan pivotere til domenesiden fra domenedetaljene på nettadressesiden eller sidepanelet, bare klikk på Vis domenesidekoblingen . Domeneenheten viser en aggregasjon av alle dataene fra URL-adressene med FQDN (fullstendig domenenavn). Hvis for eksempel én enhet observeres i kommunikasjon med sub.domain.tld/path1, og en annen enhet blir observert som kommuniserer med sub.domain.tld/path2, vil hver nettadresse til den ovennevnte vise én enhetsobservasjon, og domenet viser de to enhetsobservasjonene. I dette tilfellet korrelerer ikke en enhet som kommuniserte med othersub.domain.tld/path , til denne domenesiden, men til othersub.domain.tld.

Oversikt over nettadresse og domene

Nettadressen over hele verden viser nettadressen, en kobling til ytterligere detaljer om whois, antall relaterte åpne hendelser og antall aktive varsler, antall berørte enheter, e-postmeldinger og antall brukerklikk observert.

Sammendragsdetaljer for NETTADRESSE

Viser den opprinnelige URL-adressen (eksisterende url-informasjon), med spørringsparameterne og protokollen på programnivå. Nedenfor finner du alle domenedetaljene, for eksempel registreringsdato, endringsdato og kontaktinformasjon for registrant.

Microsofts vurdering av nettadressen eller domenet, en utbredelse av enheter, e-postmeldinger og brukerklikk. I dette området kan du se antall enheter som har kommunisert med nettadressen eller domenet de siste 30 dagene, og pivotere til den første eller siste hendelsen på enhetens tidslinje umiddelbart. Hvis du vil undersøke innledende tilgang eller om det fortsatt er en ondsinnet aktivitet i miljøet ditt.

Hendelser og varsler

Delen Hendelse og varsler viser et stolpediagram over alle aktive varsler i hendelser de siste 180 dagene.

Microsoft-dom

Microsoft-dommen viser dommen for nettadressen eller domenet fra Microsoft TI-biblioteket. Den viser om nettadressen eller domenet allerede er kjent som phishing eller skadelig enhet.

Utbredelsen

Prevalensdelen inneholder detaljer om utbredelsen av nettadressen i organisasjonen de siste 30 dagene, slikt og trenddiagram – som viser antall distinkte enheter som har kommunisert med nettadressen eller domenet over en bestemt tidsperiode. Nedenfor finner du detaljer om de første og siste enhetsobservasjonene som er kommunisert med nettadressen de siste 30 dagene, der du kan dreie til enhetens tidslinje med en gang, for å undersøke innledende tilgang fra phish-koblingen, eller hvis det fortsatt er en ondsinnet kommunikasjon i miljøet ditt.

Hendelse og varsler

Fanen hendelser og varsler inneholder en liste over hendelser som er knyttet til nettadressen eller domenet. Tabellen som vises her, er en filtrert versjon av hendelsene som er synlige på hendelseskøskjermen, som bare viser hendelser knyttet til nettadressen eller domenet, alvorlighetsgraden, påvirkede ressurser og mer.

Hendelser og varsler-fanen kan justeres for å vise mer eller mindre informasjon ved å velge Tilpass kolonner fra handlingsmenyen over kolonneoverskriftene. Antallet elementer som vises, kan også justeres ved å velge elementer per side på samme meny.

Enheter

Enheter-fanen gir en kronologisk visning av alle enhetene som ble observert for en bestemt nettadresse eller et domene. Denne fanen inneholder et trenddiagram og en tabell som kan tilpasses, som viser enhetsdetaljer, for eksempel risikonivå, domene og mer. Utover dette kan du se de første og siste hendelsestidene der enheten samhandlet med nettadressen eller domenet, og handlingstypen for denne hendelsen. Ved å bruke menyen ved siden av enhetsnavnet, kan du raskt pivotere til enhetens tidslinje for å undersøke hva som skjedde før eller etter hendelsen som involverte denne nettadressen eller domenet.

Selv om standard tidsperiode er de siste 30 dagene, kan du tilpasse dette fra rullegardinlisten som er tilgjengelig i hjørnet av kortet. Det korteste tilgjengelige området er for prevalens den siste dagen, mens det lengste området er over de siste seks månedene.

Ved hjelp av eksportknappen over tabellen kan du eksportere alle dataene til en .csv fil (inkludert første og siste hendelsestid og handlingstype), for videre undersøkelser og rapportering.

Emails

E-post-fanen gir en detaljert oversikt over alle e-postmeldingene som er observert de siste 30 dagene, som inneholdt nettadressen eller domenet. Denne fanen inneholder et trenddiagram og en tabell som kan tilpasses, som viser e-postdetaljer, for eksempel emne, avsender, mottaker og mer.

Klikk

Klikk-fanen gir en detaljert visning av alle klikkene på nettadressen eller domenet som er observert de siste 30 dagene.

Undersøke en nettadresse eller et domene

1. Velg URL-adresse fra rullegardinmenyen på Søk stolpe.

2. Skriv inn URL-adressen i Søk-feltet. Alternativt kan du navigere til nettadressen eller domenet fra hendelsesangrepshistoriefanen, fra enhetens tidslinje, til avansert jakt, eller fra e-postsidepanelet og -siden.

3. Klikk på søkeikonet, eller trykk enter. Detaljer om URL-adressen vises.

   Obs!

   Søk resultater returneres bare for nettadresser som er observert i kommunikasjon fra enheter i organisasjonen.

4. Bruk søkefiltrene til å definere søkekriteriene. Du kan også bruke søkeboksen på tidslinjen til å filtrere resultatene som vises for alle enheter i organisasjonen som ble observert for å kommunisere med nettadressen, filen som er knyttet til kommunikasjonen og den siste datoen som ble observert.

5. Hvis du klikker på enhetsnavnene, kommer du til enhetens visning, der du kan fortsette å undersøke rapporterte varsler, virkemåter og hendelser. **

6. Hvis du er uenig i avgjørelsen om en nettadresse eller et domene, kan du rapportere den til Microsoft som ren, phishing eller skadelig ved å velge **Send til Microsoft for analyse.

Relaterte artikler

• Vise og organisere Microsoft Defender for endepunkt Varsler-køen
• Behandle Microsoft Defender for endepunkt varsler
• Undersøke Microsoft Defender for endepunkt varsler
• Undersøke en fil som er knyttet til et Microsoft Defender for endepunkt varsel
• Undersøke enheter i listen over Microsoft Defender for endepunkt enheter
• Undersøke en IP-adresse som er knyttet til et Microsoft Defender for endepunkt-varsel
• Undersøke en brukerkonto i Microsoft Defender for endepunkt

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.