Undersøg domæner og URL-adresser
Gælder for:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint Plan 2
- Microsoft Defender XDR
Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.
Undersøg et domæne for at se, om enhederne og serverne i virksomhedsnetværket har kommunikeret med et kendt skadeligt domæne.
Du kan undersøge en URL-adresse eller et domæne ved hjælp af søgefunktionen, fra hændelsesoplevelsen (under fanen Beviser eller fra beskedhistorien), fra avanceret jagt, fra mailsiden og sidepanelet eller ved at klikke på URL-adressen eller domænelinket på enhedens tidslinje.
Du kan se oplysninger fra følgende afsnit i VISNINGEN URL-adresse og domæne:
Domæneoplysninger, registrantens kontaktoplysninger
Microsoft-dom
Hændelser og beskeder, der er relateret til denne URL-adresse eller dette domæne
Forekomsten af URL-adressen eller domænet i organisationen
Seneste observerede enheder med URL-adresse eller domæne
Seneste mails, der indeholder URL-adressen eller domænet
Seneste klik på URL-adressen eller domænet
Domæneenhed
Du kan pivotere til domænesiden fra domæneoplysningerne på URL-siden eller i sidepanelet. Du skal blot klikke på linket Vis domæneside . Domæneenheden viser en sammenlægning af alle data fra URL-adresserne med FQDN (Fuldt kvalificeret domænenavn). Hvis der f.eks. observeres kommunikation med én enhed, sub.domain.tld/path1
og en anden enhed observeres kommunikation med sub.domain.tld/path2
, vises der én enhedsobservation for hver URL-adresse ovenfor, og domænet viser de to enhedsobservationer. I dette tilfælde svarer en enhed, der kommunikeres med othersub.domain.tld/path
, ikke til denne domæneside, men til othersub.domain.tld
.
Oversigt over URL-adresse og domæne
Afsnittet om url-adressen på verdensplan viser URL-adressen, et link til yderligere oplysninger om whois, antallet af relaterede åbne hændelser og antallet af aktive beskeder, antallet af berørte enheder, mails og antallet af observerede bruger klik.
Oplysninger om URL-adresseoversigt
Viser den oprindelige URL-adresse (eksisterende URL-oplysninger) med forespørgselsparametrene og protokollen på programniveau. Nedenfor kan du finde de fulde domæneoplysninger, f.eks registreringsdato, ændringsdato og registrantens kontaktoplysninger.
Microsofts dom over URL-adressen eller domænet, en forekomst af enheder, mails og brugerens kliksektion. I dette område kan du se antallet af enheder, der kommunikeres med URL-adressen eller domænet inden for de sidste 30 dage, og pivotere til den første eller sidste hændelse på enhedens tidslinje med det samme. Til at undersøge den indledende adgang, eller om der stadig er skadelig aktivitet i dit miljø.
Hændelser og beskeder
Afsnittet Hændelse og beskeder viser et liggende søjlediagram over alle aktive beskeder i hændelser i løbet af de seneste 180 dage.
Microsoft-dom
I afsnittet Microsoft-dom vises dommen fra URL-adressen eller domænet fra Microsoft TI-biblioteket. Den viser, om URL-adressen eller domænet allerede er kendt som phishing eller skadelig enhed.
Forekomsten
Afsnittet Prævalens indeholder oplysninger om forekomsten af URL-adressen i organisationen inden for de seneste 30 dage, såsom og tendensdiagram – som viser antallet af forskellige enheder, der kommunikeres med URL-adressen eller domænet over en bestemt tidsperiode. Nedenfor kan du finde oplysninger om de første og sidste enhedsobservationer, der er kommunikeret med URL-adressen inden for de sidste 30 dage, hvor du kan pivotere til enhedens tidslinje med det samme, for at undersøge den indledende adgang fra phish-linket, eller hvis der stadig er skadelig kommunikation i dit miljø.
Hændelser og beskeder
Fanen Hændelser og beskeder indeholder en liste over hændelser, der er knyttet til URL-adressen eller domænet. Den tabel, der vises her, er en filtreret version af hændelserne, der er synlige på skærmen Hændelseskø, og som kun viser hændelser, der er knyttet til URL-adressen eller domænet, deres alvorsgrad, påvirkede aktiver og meget mere.
Fanen Hændelser og beskeder kan justeres til at vise flere eller færre oplysninger ved at vælge Tilpas kolonner i handlingsmenuen over kolonneoverskrifterne. Det antal elementer, der vises, kan også justeres ved at vælge elementer pr. side i den samme menu.
Enheder
Fanen Enheder indeholder en kronologisk visning af alle de enheder, der blev observeret for en bestemt URL-adresse eller et domæne. Denne fane indeholder et tendensdiagram og en tabel, der kan tilpasses, og som indeholder enhedsoplysninger, f.eks. risikoniveau, domæne m.m. Derudover kan du se de første og sidste hændelsestider, hvor enheden interagerede med URL-adressen eller domænet, og handlingstypen for denne hændelse. Ved hjælp af menuen ud for enhedsnavnet kan du hurtigt pivotere til enhedens tidslinje for yderligere at undersøge, hvad der skete før eller efter hændelsen, der involverede denne URL-adresse eller dette domæne.
Selvom standardtidsperioden er de seneste 30 dage, kan du tilpasse dette på rullelisten, der er tilgængelig i hjørnet af kortet. Det korteste tilgængelige interval er prævalens for den seneste dag, mens det længste interval er over de seneste seks måneder.
Ved hjælp af knappen Eksportér over tabellen kan du eksportere alle dataene til en .csv fil (herunder første og sidste hændelsestidspunkt og handlingstype) til yderligere undersøgelse og rapportering.
E-mails
Fanen Mails giver et detaljeret overblik over alle de mails, der er blevet observeret inden for de sidste 30 dage, som indeholdt URL-adressen eller domænet. Denne fane indeholder et tendensdiagram og en tabel, der kan tilpasses, og som indeholder mailoplysninger, f.eks. emne, afsender, modtager og meget mere.
Klik
Fanen Klik giver en detaljeret visning af alle de klik på URL-adressen eller domænet, der er blevet observeret inden for de seneste 30 dage.
Undersøg en URL-adresse eller et domæne
Vælg URL-adresse i rullemenuen Søg linje.
Angiv URL-adressen i feltet Søg. Du kan også navigere til URL-adressen eller domænet fra fanen Hændelsesangrebshistorie, fra enhedens tidslinje, via avanceret jagt eller fra mailsidens sidepanel og side.
Klik på søgeikonet, eller tryk på Enter. Der vises oplysninger om URL-adressen.
Bemærk!
Søg resultater returneres kun for URL-adresser, der er observeret i kommunikation fra enheder i organisationen.
Brug søgefiltrene til at definere søgekriterierne. Du kan også bruge søgefeltet tidslinje til at filtrere de viste resultater for alle enheder i organisationen, der kommunikerer med URL-adressen, den fil, der er knyttet til kommunikationen, og den seneste observerede dato.
Når du klikker på et af enhedsnavnene, kommer du til den pågældende enheds visning, hvor du kan fortsætte med at undersøge rapporterede beskeder, funktionsmåder og hændelser. **
Hvis du er uenig i dommen fra en URL-adresse eller et domæne, kan du rapportere den til Microsoft som ren, phishing eller skadelig ved at vælge **Send til Microsoft til analyse.
Relaterede artikler
- Få vist og organiser køen Microsoft Defender for Endpoint beskeder
- Administrer Microsoft Defender for Endpoint beskeder
- Undersøg Microsoft Defender for Endpoint beskeder
- Undersøg en fil, der er knyttet til en Microsoft Defender for Endpoint besked
- Undersøg enheder på listen over Microsoft Defender for Endpoint enheder
- Undersøg en IP-adresse, der er knyttet til en Microsoft Defender for Endpoint besked
- Undersøg en brugerkonto i Microsoft Defender for Endpoint
Tip
Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.