Untersuchen von Domänen und URLs

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Untersuchen Sie eine Domäne, um festzustellen, ob die Geräte und Server in Ihrem Unternehmensnetzwerk mit einer bekannten schädlichen Domäne kommuniziert haben.

Sie können eine URL oder Domäne untersuchen, indem Sie das Suchfeature verwenden, über die Incidenterfahrung (auf der Registerkarte "Beweise" oder im Warnungsverlauf), über die erweiterte Suche, über die E-Mail-Seite und den Seitenbereich oder durch Klicken auf den URL- oder Domänenlink aus der Geräte-Zeitleiste.

Sie können Informationen aus den folgenden Abschnitten in der URL- und Domänenansicht anzeigen:

• Domänendetails, Kontaktinformationen des Registranten

• Microsoft-Urteil

• Incidents und Warnungen im Zusammenhang mit dieser URL oder Domäne

• Prävalenz der URL oder Domäne im organization

• Zuletzt beobachtete Geräte mit URL oder Domäne

• Neueste E-Mails mit der URL oder Domäne

• Letzte Klicks auf die URL oder Domäne

Domänenentität

Sie können über die Domänendetails auf der URL-Seite oder im Seitenbereich zur Domänenseite wechseln, indem Sie einfach auf den Link Domänenseite anzeigen klicken. Die Domänenentität zeigt eine Aggregation aller Daten aus den URLs mit dem FQDN (Vollqualifizierter Domänenname) an. Wenn z. B. ein Gerät mit sub.domain.tld/path1kommuniziert und ein anderes Gerät mit sub.domain.tld/path2kommuniziert, zeigt jede URL des obigen Geräts eine Gerätebeobachtung an, und die Domäne zeigt die beiden Gerätebeobachtungen an. In diesem Fall korreliert ein Gerät, das mit othersub.domain.tld/path kommuniziert, nicht mit dieser Domänenseite, sondern mit othersub.domain.tld.

URL- und Domänenübersicht

Der Abschnitt URL weltweit enthält die URL, einen Link zu weiteren Details bei whois, die Anzahl der damit verbundenen offenen Incidents und die Anzahl der aktiven Warnungen, die Anzahl der betroffenen Geräte, E-Mails und die Anzahl der beobachteten Benutzerklicks.

URL-Zusammenfassungsdetails

Zeigt die ursprüngliche URL (vorhandene URL-Informationen) mit den Abfrageparametern und dem Protokoll auf Anwendungsebene an. Unten finden Sie die vollständigen Domänendetails, z. B. Registrierungsdatum, Änderungsdatum und Kontaktinformationen des Registranten.

Microsoft-Bewertung der URL oder Domäne, einer Geräteprävalenz, E-Mails und Benutzerklicks. In diesem Bereich können Sie die Anzahl der Geräte sehen, die in den letzten 30 Tagen mit der URL oder Domäne kommuniziert haben, und sie können sofort zum ersten oder letzten Ereignis auf dem Gerät Zeitleiste wechseln. Um den ersten Zugriff zu untersuchen oder ob in Ihrer Umgebung immer noch eine schädliche Aktivität vorhanden ist.

Vorfälle und Warnungen

Im Abschnitt Incident und Warnungen wird ein Balkendiagramm aller aktiven Warnungen in Incidents in den letzten 180 Tagen angezeigt.

Microsoft-Urteil

Im Abschnitt "Microsoft-Bewertung" wird das Urteil der URL oder Domäne aus der Microsoft TI-Bibliothek angezeigt. Es wird angezeigt, ob die URL oder Domäne bereits als Phishing oder böswillige Entität bekannt ist.

Prävalenz

Der Abschnitt Prävalenz enthält Details zur Prävalenz der URL innerhalb der organization, in den letzten 30 Tagen, wie z. B. und Trenddiagramm, das die Anzahl der unterschiedlichen Geräte anzeigt, die über einen bestimmten Zeitraum mit der URL oder Domäne kommuniziert haben. Im Folgenden finden Sie Details zu den ersten und letzten Gerätebeobachtungen, die in den letzten 30 Tagen mit der URL kommuniziert wurden, wo Sie sofort zum Gerät Zeitleiste wechseln können, um den ersten Zugriff über den Phish-Link zu untersuchen oder ob in Ihrer Umgebung weiterhin eine schädliche Kommunikation besteht.

Incident und Warnungen

Die Registerkarte Incident und Warnungen enthält eine Liste der Vorfälle, die der URL oder Domäne zugeordnet sind. Die hier gezeigte Tabelle enthält eine gefilterte Version der Incidents, die auf dem Bildschirm "Incidentwarteschlange" angezeigt wird und nur Vorfälle anzeigt, die der URL oder Domäne zugeordnet sind, deren Schweregrad, die betroffenen Ressourcen und vieles mehr.

Die Registerkarte Incidents und Warnungen kann angepasst werden, um mehr oder weniger Informationen anzuzeigen, indem Sie im Aktionsmenü über den Spaltenüberschriften die Option Spalten anpassen auswählen. Die Anzahl der angezeigten Elemente kann auch angepasst werden, indem Elemente pro Seite im selben Menü ausgewählt werden.

Geräte

Die Registerkarte Geräte bietet eine chronologische Ansicht aller Geräte, die für eine bestimmte URL oder Domäne beobachtet wurden. Diese Registerkarte enthält ein Trenddiagramm und eine anpassbare Tabelle mit Gerätedetails wie Risikostufe, Domäne und mehr. Darüber hinaus sehen Sie die ersten und letzten Ereigniszeiten, zu denen das Gerät mit der URL oder Domäne interagiert hat, und den Aktionstyp dieses Ereignisses. Mithilfe des Menüs neben dem Gerätenamen können Sie schnell zum Zeitleiste des Geräts wechseln, um weiter zu untersuchen, was vor oder nach dem Ereignis passiert ist, das diese URL oder Domäne umfasst.

Obwohl der Standardzeitraum die letzten 30 Tage ist, können Sie dies über die Dropdownliste anpassen, die in der Ecke des Karte verfügbar ist. Der kürzeste verfügbare Bereich ist für die Prävalenz am letzten Tag, während der längste Bereich in den letzten sechs Monaten liegt.

Mithilfe der Exportschaltfläche über der Tabelle können Sie alle Daten in eine .csv Datei (einschließlich der ersten und letzten Ereigniszeit und des Aktionstyps) exportieren, um weitere Untersuchungen und Berichte zu erhalten.

E-Mails

Die Registerkarte E-Mails bietet eine detaillierte Ansicht aller E-Mails, die in den letzten 30 Tagen beobachtet wurden und die URL oder Domäne enthielten. Diese Registerkarte enthält ein Trenddiagramm und eine anpassbare Tabelle mit E-Mail-Details wie Betreff, Absender, Empfänger und mehr.

Klicks

Die Registerkarte Klicks bietet eine detaillierte Ansicht aller Klicks auf die URL oder Domäne, die in den letzten 30 Tagen beobachtet wurden.

Untersuchen einer URL oder Domäne

1. Wählen Sie im Dropdownmenü der Search leiste die Option URL aus.

2. Geben Sie die URL in das Feld Search ein. Alternativ können Sie über die Registerkarte Incident attack story, vom Gerät Zeitleiste, über die erweiterte Suche oder über den E-Mail-Seitenbereich und die Seite zur URL oder Domäne navigieren.

3. Klicken Sie auf das Suchsymbol, oder drücken Sie die EINGABETASTE. Details zur URL werden angezeigt.

   Hinweis

   Search Ergebnisse werden nur für URLs zurückgegeben, die bei der Kommunikation von Geräten im organization beobachtet werden.

4. Verwenden Sie die Suchfilter, um die Suchkriterien zu definieren. Sie können auch das suchfeld Zeitleiste verwenden, um die angezeigten Ergebnisse aller Geräte im organization zu filtern, die mit der URL kommunizieren, die der Kommunikation zugeordnete Datei und das letzte Beobachtete Datum.

5. Wenn Sie auf einen der Gerätenamen klicken, gelangen Sie zur Ansicht dieses Geräts, in der Sie weiterhin gemeldete Warnungen, Verhaltensweisen und Ereignisse untersuchen können. **

6. Wenn Sie mit der Bewertung einer URL oder Domäne nicht einverstanden sind, können Sie sie microsoft als sauber, Phishing oder böswillig melden, indem Sie **An Microsoft zur Analyse übermitteln auswählen.

Verwandte Artikel

• Anzeigen und Organisieren der Warnungswarteschlange für Microsoft Defender für Endpunkt
• Verwalten von Microsoft Defender for Endpoint Warnungen
• Untersuchen von Microsoft Defender for Endpoint Warnungen
• Untersuchen einer Datei, die einer Microsoft Defender for Endpoint Warnung zugeordnet ist
• Untersuchen von Geräten in der liste der Microsoft Defender for Endpoint Geräte
• Untersuchen einer IP-Adresse, die einer Microsoft Defender for Endpoint-Warnung zugeordnet ist
• Untersuchen eines Benutzerkontos in Microsoft Defender for Endpoint

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.