Badanie domen i adresów URL
Dotyczy:
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 1)
- Ochrona punktu końcowego w usłudze Microsoft Defender (plan 2)
- Microsoft Defender XDR
Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.
Zbadaj domenę, aby sprawdzić, czy urządzenia i serwery w sieci przedsiębiorstwa komunikują się ze znaną złośliwą domeną.
Adres URL lub domenę można zbadać za pomocą funkcji wyszukiwania, środowiska zdarzenia (na karcie dowodów lub w historii alertu), zaawansowanego wyszukiwania zagrożeń, strony wiadomości e-mail i panelu bocznego albo klikając adres URL lub link do domeny na osi czasu urządzenia.
Informacje z następujących sekcji można znaleźć w widoku adresu URL i domeny:
Szczegóły domeny, informacje kontaktowe rejestrujących
Werdykt firmy Microsoft
Zdarzenia i alerty związane z tym adresem URL lub domeną
Częstość występowania adresu URL lub domeny w organizacji
Najnowsze obserwowane urządzenia z adresem URL lub domeną
Najnowsze wiadomości e-mail zawierające adres URL lub domenę
Najnowsze kliknięcia adresu URL lub domeny
Jednostka domeny
Możesz przestawić się na stronę domeny ze szczegółów domeny na stronie adresu URL lub panelu bocznym, po prostu kliknij link Wyświetl stronę domeny . Jednostka domeny pokazuje agregację wszystkich danych z adresów URL za pomocą nazwy FQDN (w pełni kwalifikowana nazwa domeny). Jeśli na przykład jedno urządzenie jest obserwowane komunikując się z sub.domain.tld/path1
usługą , a inne urządzenie jest obserwowane podczas komunikacji z sub.domain.tld/path2
usługą , każdy adres URL powyższego adresu URL będzie zawierać jedną obserwację urządzenia, a w domenie zostaną wyświetlone dwie obserwacje urządzenia. W takim przypadku urządzenie, które komunikowało się z programem, nie będzie skorelowane z tą stroną domeny, ale othersub.domain.tld
z othersub.domain.tld/path
usługą .
Omówienie adresów URL i domeny
Ogólnoświatowy adres URL zawiera listę adresów URL, link do dalszych szczegółów dotyczących whois, liczby powiązanych otwartych zdarzeń oraz liczby aktywnych alertów, liczby urządzeń, wiadomości e-mail i liczby zaobserwowanych kliknięć użytkowników.
Szczegóły podsumowania adresu URL
Wyświetla oryginalny adres URL (istniejące informacje o adresie URL) z parametrami zapytania i protokołem na poziomie aplikacji. Poniżej znajdziesz pełne szczegóły domeny, takie jak data rejestracji, data modyfikacji i informacje kontaktowe rejestrujących.
Werdykt firmy Microsoft w sprawie adresu URL lub domeny, częstości występowania urządzeń, wiadomości e-mail i kliknięć użytkowników. W tym obszarze możesz zobaczyć liczbę urządzeń, które komunikowały się z adresem URL lub domeną w ciągu ostatnich 30 dni, i od razu przestawić się na pierwsze lub ostatnie zdarzenie na osi czasu urządzenia. Aby zbadać początkowy dostęp lub czy w środowisku nadal występuje złośliwe działanie.
Zdarzenia i alerty
Sekcja Zdarzenia i alerty zawiera wykres słupkowy wszystkich aktywnych alertów w zdarzeniach z ostatnich 180 dni.
Werdykt firmy Microsoft
Sekcja Werdykt firmy Microsoft zawiera werdykt adresu URL lub domeny z biblioteki microsoft TI. Pokazuje, czy adres URL lub domena jest już znana jako wyłudzanie informacji lub złośliwa jednostka.
Częstość występowania
Sekcja Częstość występowania zawiera szczegółowe informacje na temat występowania adresu URL w organizacji w ciągu ostatnich 30 dni, takiego i wykresu trendu — który pokazuje liczbę odrębnych urządzeń, które komunikowały się z adresem URL lub domeną w określonym okresie czasu. Poniżej znajdziesz szczegółowe informacje o pierwszych i ostatnich obserwacjach urządzenia przekazanych z adresem URL w ciągu ostatnich 30 dni, gdzie można od razu przestawić się na osi czasu urządzenia, zbadać początkowy dostęp z poziomu linku phish lub czy w twoim środowisku nadal istnieje złośliwa komunikacja.
Zdarzenia i alerty
Karta Zdarzenia i alerty zawiera listę zdarzeń skojarzonych z adresem URL lub domeną. Tabela przedstawiona w tym miejscu to przefiltrowana wersja zdarzeń widocznych na ekranie kolejki zdarzeń pokazująca tylko zdarzenia skojarzone z adresem URL lub domeną, ich ważnością, zasobami, których dotyczy problem i nie tylko.
Kartę Zdarzenia i alerty można dostosować tak, aby wyświetlała więcej lub mniej informacji, wybierając pozycję Dostosuj kolumny z menu akcji nad nagłówkami kolumn. Liczbę wyświetlanych elementów można również dostosować, wybierając elementy na stronę w tym samym menu.
Urządzeń
Karta Urządzenia zawiera widok chronologiczny wszystkich urządzeń, które zostały zaobserwowane dla określonego adresu URL lub domeny. Ta karta zawiera wykres trendu i dostosowywalną tabelę zawierającą szczegółowe informacje o urządzeniu, takie jak poziom ryzyka, domena i inne. Poza tym można zobaczyć pierwsze i ostatnie zdarzenia, w których urządzenie wchodziło w interakcję z adresem URL lub domeną, oraz typ akcji tego zdarzenia. Korzystając z menu obok nazwy urządzenia, możesz szybko przełączyć się na oś czasu urządzenia, aby dokładniej zbadać, co wydarzyło się przed lub po zdarzeniu, które dotyczyło tego adresu URL lub domeny.
Chociaż domyślny okres to ostatnie 30 dni, możesz go dostosować z listy rozwijanej dostępnej na rogu karty. Najkrótszy dostępny zakres jest do występowania w ciągu ostatniego dnia, podczas gdy najdłuższy zakres jest w ciągu ostatnich sześciu miesięcy.
Za pomocą przycisku eksportu nad tabelą możesz wyeksportować wszystkie dane do pliku .csv (w tym pierwszego i ostatniego typu zdarzenia i akcji) w celu dalszego zbadania i raportowania.
Wiadomości e-mail
Karta Wiadomości e-mail zawiera szczegółowy widok wszystkich wiadomości e-mail obserwowanych w ciągu ostatnich 30 dni, które zawierały adres URL lub domenę. Ta karta zawiera wykres trendu i dostosowywalną tabelę zawierającą szczegóły wiadomości e-mail, takie jak temat, nadawca, adresat i inne.
Kliknięć
Karta Kliknięcia zawiera szczegółowy widok wszystkich kliknięć adresu URL lub domeny obserwowanych w ciągu ostatnich 30 dni.
Badanie adresu URL lub domeny
Wybierz pozycję Adres URL z menu rozwijanego paska Search.
Wprowadź adres URL w polu Search. Alternatywnie możesz przejść do adresu URL lub domeny na karcie Historia ataku incydentu, z osi czasu urządzenia, za pośrednictwem zaawansowanego wyszukiwania zagrożeń lub z panelu i strony po stronie poczty e-mail.
Kliknij ikonę wyszukiwania lub naciśnij klawisz Enter. Zostaną wyświetlone szczegółowe informacje o adresie URL.
Uwaga
Search wyniki będą zwracane tylko dla adresów URL obserwowanych w komunikacji z urządzeń w organizacji.
Użyj filtrów wyszukiwania, aby zdefiniować kryteria wyszukiwania. Możesz również użyć pola wyszukiwania osi czasu, aby odfiltrować wyświetlane wyniki wszystkich urządzeń w organizacji, które komunikowały się z adresem URL, plikiem skojarzonym z komunikacją i ostatnią zaobserwowaną datą.
Kliknięcie dowolnej nazwy urządzenia spowoduje wyświetlenie tego urządzenia, w którym będzie można kontynuować badanie zgłoszonych alertów, zachowań i zdarzeń. **
Jeśli nie zgadzasz się z werdyktem adresu URL lub domeny, możesz zgłosić go firmie Microsoft jako czysty, wyłudzający informacje lub złośliwy , wybierając pozycję **Prześlij do firmy Microsoft w celu analizy.
Artykuły pokrewne
- Wyświetlanie i organizowanie kolejki alertów Ochrona punktu końcowego w usłudze Microsoft Defender
- Zarządzanie alertami Ochrona punktu końcowego w usłudze Microsoft Defender
- Badanie alertów Ochrona punktu końcowego w usłudze Microsoft Defender
- Badanie pliku skojarzonego z alertem Ochrona punktu końcowego w usłudze Microsoft Defender
- Badanie urządzeń na liście urządzeń Ochrona punktu końcowego w usłudze Microsoft Defender
- Badanie adresu IP skojarzonego z alertem Ochrona punktu końcowego w usłudze Microsoft Defender
- Badanie konta użytkownika w Ochrona punktu końcowego w usłudze Microsoft Defender
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.