Zkoumání domén a adres URL

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Prozkoumejte doménu a zjistěte, jestli zařízení a servery ve vaší podnikové síti komunikují se známou škodlivou doménou.

Adresu URL nebo doménu můžete prozkoumat pomocí funkce vyhledávání, z prostředí incidentu (na kartě důkazu nebo z příběhu upozornění), z rozšířeného vyhledávání, z e-mailové stránky a bočního panelu nebo kliknutím na adresu URL nebo odkaz na doménu na časové ose zařízení.

Informace z následujících částí najdete v zobrazení adresy URL a domény:

• Podrobnosti o doméně, kontaktní údaje žadatele o registraci

• Verdikt Microsoftu

• Incidenty a výstrahy související s touto adresou URL nebo doménou

• Rozšíření adresy URL nebo domény v organizaci

• Nejnovější zjištěná zařízení s adresou URL nebo doménou

• Nejnovější e-maily obsahující adresu URL nebo doménu

• Poslední kliknutí na adresu URL nebo doménu

Entita domény

Na stránku domény můžete přejít z podrobností o doméně na stránce URL nebo na bočním panelu, stačí kliknout na odkaz Zobrazit stránku domény . Entita domény zobrazuje agregaci všech dat z adres URL s plně kvalifikovaným názvem domény (FQDN). Pokud je například zjištěno, že jedno zařízení komunikuje s sub.domain.tld/path1nástrojem a jiné zařízení komunikuje s sub.domain.tld/path2, každá výše uvedená adresa URL zobrazí jedno pozorování zařízení a doména bude zobrazovat dvě pozorování zařízení. V tomto případě zařízení, které komunikovalo se othersub.domain.tld/path službou, nebude korelovat s touto doménovou stránkou, ale s othersub.domain.tld.

Přehled adres URL a domén

V části ADRESA URL worldwide je uvedena adresa URL, odkaz na další podrobnosti o whois, počet souvisejících otevřených incidentů a počet aktivních výstrah, počet ovlivněných zařízení, e-maily a počet zaznamenaných kliknutí uživatelů.

Podrobnosti souhrnu adresy URL

Zobrazí původní adresu URL (informace o existující adrese URL) s parametry dotazu a protokolem na úrovni aplikace. Níže najdete úplné podrobnosti o doméně, jako je datum registrace, datum změny a kontaktní údaje žadatele o registraci.

Microsoft verdikt adresy URL nebo domény, rozšíření počtu zařízení, e-mailů a kliknutí uživatelů. V této oblasti uvidíte počet zařízení, která komunikovala s adresou URL nebo doménou za posledních 30 dnů, a okamžitě přejít na první nebo poslední událost na časové ose zařízení. Pokud chcete prověřit počáteční přístup nebo jestli ve vašem prostředí stále existuje škodlivá aktivita.

Incidenty a výstrahy

V části Incident a výstrahy se zobrazuje pruhový graf všech aktivních výstrah v incidentech za posledních 180 dnů.

Verdikt Microsoftu

V části Microsoft verdict (Verdict) se zobrazí verdikt adresy URL nebo domény z knihovny Microsoft TI. Ukazuje, jestli se adresa URL nebo doména už označuje jako phishingová nebo škodlivá entita.

Prevalence

Část Prevalence obsahuje podrobnosti o rozšíření adresy URL v organizaci za posledních 30 dnů, například graf trendů a graf trendů – který ukazuje počet různých zařízení, která komunikovala s adresou URL nebo doménou za určité časové období. Níže najdete podrobnosti o prvním a posledním pozorování zařízení komunikovaných s adresou URL za posledních 30 dnů, kde můžete okamžitě přejít na časovou osu zařízení, prozkoumat počáteční přístup z odkazu na phish nebo jestli ve vašem prostředí stále existuje škodlivá komunikace.

Incident a výstrahy

Karta Incident a výstrahy obsahuje seznam incidentů přidružených k adrese URL nebo doméně. Zde uvedená tabulka je filtrovaná verze incidentů viditelných na obrazovce Fronta incidentů, která zobrazuje pouze incidenty spojené s adresou URL nebo doménou, jejich závažností, ovlivněnými prostředky a dalšími.

Kartu Incidenty a výstrahy můžete upravit tak, aby zobrazovala více nebo méně informací, a to tak, že v nabídce akcí nad záhlavími sloupců vyberete Přizpůsobit sloupce . Počet zobrazených položek lze také upravit výběrem položek na stránku ve stejné nabídce.

Zařízení

Karta Zařízení poskytuje chronologické zobrazení všech zařízení, která byla zjištěna pro konkrétní adresu URL nebo doménu. Tato karta obsahuje graf trendů a přizpůsobitelnou tabulku s podrobnostmi o zařízení, jako je úroveň rizika, doména a další. Kromě toho můžete zobrazit časy první a poslední události, kdy zařízení pracovalo s adresou URL nebo doménou, a typ akce této události. Pomocí nabídky vedle názvu zařízení můžete rychle přejít na časovou osu zařízení a dále prozkoumat, co se stalo před nebo po události, která zahrnovala tuto adresu URL nebo doménu.

I když je výchozím časovým obdobím posledních 30 dnů, můžete si ho přizpůsobit v rozevíracím seznamu, který je k dispozici v rohu karty. Nejkratší dostupný rozsah je pro prevalenci za poslední den, zatímco nejdelší rozsah je za posledních šest měsíců.

Pomocí tlačítka exportu nad tabulkou můžete exportovat všechna data do souboru .csv (včetně času první a poslední události a typu akce) pro účely dalšího šetření a generování sestav.

E-maily

Karta E-maily poskytuje podrobné zobrazení všech e-mailů zjištěných za posledních 30 dnů, které obsahovaly adresu URL nebo doménu. Tato karta obsahuje graf trendů a přizpůsobitelnou tabulku s podrobnostmi e-mailu, jako je předmět, odesílatel, příjemce a další.

Kliknutí

Karta Kliknutí poskytuje podrobné zobrazení všech kliknutí na adresu URL nebo doménu za posledních 30 dnů.

Prozkoumání adresy URL nebo domény

1. V rozevírací nabídce Search panelu vyberte ADRESU URL.

2. Do pole Search zadejte adresu URL. Alternativně můžete na adresu URL nebo doménu přejít z karty Scénář útoku incidentu, z časové osy zařízení, prostřednictvím rozšířeného proaktivního vyhledávání nebo z bočního panelu a stránky e-mailu.

3. Klikněte na ikonu hledání nebo stiskněte Enter. Zobrazí se podrobnosti o adrese URL.

   Poznámka

   Search výsledky se vrátí jenom pro adresy URL zjištěné při komunikaci ze zařízení v organizaci.

4. Pomocí vyhledávacích filtrů definujte kritéria hledání. Pomocí vyhledávacího pole časové osy můžete také filtrovat zobrazené výsledky všech zařízení v organizaci, u které bylo zjištěno, že komunikují s adresou URL, souborem přidruženým ke komunikaci a posledním pozorovaným datem.

5. Kliknutím na některý z názvů zařízení přejdete do zobrazení tohoto zařízení, kde můžete pokračovat ve zkoumání nahlášených výstrah, chování a událostí. **

6. Pokud nesouhlasíte se verdiktem adresy URL nebo domény, můžete je společnosti Microsoft nahlásit jako čisté, phishingové nebo škodlivé tak, že vyberete **Odeslat společnosti Microsoft k analýze.

Související články

• Zobrazení a uspořádání fronty upozornění Microsoft Defender for Endpoint
• Správa výstrah Microsoft Defender for Endpoint
• Zkoumání výstrah Microsoft Defender for Endpoint
• Prozkoumání souboru přidruženého k upozornění na Microsoft Defender for Endpoint
• Prozkoumání zařízení v seznamu zařízení Microsoft Defender for Endpoint
• Prozkoumání IP adresy přidružené k upozornění Microsoft Defender for Endpoint
• Prozkoumání uživatelského účtu v Microsoft Defender for Endpoint

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.