Examiner les domaines et les URL

  • Article

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Examinez un domaine pour voir si les appareils et les serveurs de votre réseau d’entreprise communiquent avec un domaine malveillant connu.

Vous pouvez examiner une URL ou un domaine à l’aide de la fonctionnalité de recherche, à partir de l’expérience d’incident (sous l’onglet preuve ou à partir de l’article de l’alerte), de la chasse avancée, de la page de messagerie et du panneau latéral, ou en cliquant sur le lien URL ou domaine à partir du chronologie de l’appareil.

Vous pouvez voir les informations des sections suivantes dans la vue URL et domaine :

  • Détails du domaine, informations de contact de l’inscrit

  • Verdict Microsoft

  • Incidents et alertes liés à cette URL ou à ce domaine

  • Prévalence de l’URL ou du domaine dans le organization

  • Appareils les plus récents observés avec une URL ou un domaine

  • E-mails les plus récents contenant l’URL ou le domaine

  • Clics les plus récents sur l’URL ou le domaine

Page URL/domaine main

Entité de domaine

Vous pouvez effectuer un tableau croisé dynamique vers la page de domaine à partir des détails du domaine dans la page URL ou le panneau latéral. Cliquez simplement sur le lien Afficher la page de domaine . L’entité de domaine affiche une agrégation de toutes les données des URL avec le nom de domaine complet (FQDN). Par exemple, si un appareil communique avec sub.domain.tld/path1et qu’un autre appareil communique avec sub.domain.tld/path2, chaque URL de l’objet ci-dessus affiche une observation d’appareil et le domaine affiche les deux observations d’appareil. Dans ce cas, un appareil qui a communiqué avec othersub.domain.tld/path n’est pas corrélé à cette page de domaine, mais à othersub.domain.tld.

Vue d’ensemble de l’URL et du domaine

La section URL dans le monde entier répertorie l’URL, un lien vers d’autres détails sur whois, le nombre d’incidents ouverts associés et le nombre d’alertes actives, le nombre d’appareils concernés, d’e-mails et le nombre de clics utilisateur observés.

Détails du résumé de l’URL

Affiche l’URL d’origine (informations d’URL existantes), avec les paramètres de requête et le protocole au niveau de l’application. Vous trouverez ci-dessous les détails complets du domaine, tels que la date d’inscription, la date de modification et les informations de contact de l’inscrit.

Verdict Microsoft de l’URL ou du domaine, une prévalence des appareils, des e-mails et des clics utilisateur. Dans cette zone, vous pouvez voir le nombre d’appareils qui ont communiqué avec l’URL ou le domaine au cours des 30 derniers jours, et pivoter vers le premier ou le dernier événement de l’appareil chronologie immédiatement. Pour examiner l’accès initial ou s’il existe toujours une activité malveillante dans votre environnement.

Incidents et alertes

La section Incident et alertes affiche un graphique à barres de toutes les alertes actives dans les incidents au cours des 180 derniers jours.

Verdict Microsoft

La section Verdict Microsoft affiche le verdict de l’URL ou du domaine de la bibliothèque Microsoft TI. Il indique si l’URL ou le domaine est déjà connu sous le nom d’hameçonnage ou d’entité malveillante.

Prévalence

La section Prévalence fournit des détails sur la prévalence de l’URL au sein de l’organization, au cours des 30 derniers jours, par exemple et le graphique de tendance, qui indique le nombre d’appareils distincts qui ont communiqué avec l’URL ou le domaine sur une période spécifique. Vous trouverez ci-dessous les détails des première et dernière observations d’appareil communiquées avec l’URL au cours des 30 derniers jours, où vous pouvez effectuer un pivot vers l’appareil chronologie immédiatement, pour examiner l’accès initial à partir du lien hameçonnage, ou s’il existe toujours une communication malveillante dans votre environnement.

Incident et alertes

L’onglet Incident et alertes fournit une liste des incidents associés à l’URL ou au domaine.

L’onglet Incident et alertes fournit une liste des incidents associés à l’URL ou au domaine. Le tableau présenté ici est une version filtrée des incidents visibles sur l’écran File d’attente des incidents, montrant uniquement les incidents associés à l’URL ou au domaine, leur gravité, les ressources impactées, etc.

L’onglet Incidents et alertes peut être ajusté pour afficher plus ou moins d’informations, en sélectionnant Personnaliser les colonnes dans le menu Action au-dessus des en-têtes de colonne. Le nombre d’éléments affichés peut également être ajusté en sélectionnant les éléments par page dans le même menu.

Appareils

L’onglet Appareil affiche le nombre d’appareils distincts qui ont communiqué avec l’URL ou le domaine sur une période spécifique.

L’onglet Appareils fournit une vue chronologique de tous les appareils qui ont été observés pour une URL ou un domaine spécifique. Cet onglet inclut un graphique de tendances et une table personnalisable répertoriant les détails de l’appareil, tels que le niveau de risque, le domaine, etc. En outre, vous pouvez voir les heures du premier et du dernier événement où l’appareil a interagi avec l’URL ou le domaine, ainsi que le type d’action de cet événement. À l’aide du menu en regard du nom de l’appareil, vous pouvez rapidement effectuer un pivot vers l’appareil chronologie pour examiner plus en détail ce qui s’est passé avant ou après l’événement qui a impliqué cette URL ou ce domaine.

Bien que la période par défaut corresponde aux 30 derniers jours, vous pouvez la personnaliser à partir de la liste déroulante disponible au coin de la carte. La fourchette la plus courte disponible concerne la prévalence au cours de la dernière journée, tandis que la plus longue est au cours des six derniers mois.

À l’aide du bouton Exporter au-dessus de la table, vous pouvez exporter toutes les données dans un fichier .csv (y compris l’heure du premier et du dernier événement et le type d’action), pour une investigation et un rapport plus approfondis.

Messages électroniques

L’onglet E-mails fournit une vue détaillée de tous les e-mails observés au cours des 30 derniers jours qui contenaient l’URL ou le domaine. Cet onglet comprend un graphique de tendance et une table personnalisable répertoriant les détails des e-mails, tels que l’objet, l’expéditeur, le destinataire, etc.

Onglet e-mail pour examiner une URL/un domaine

Clics

L’onglet Clics fournit une vue détaillée de tous les clics sur l’URL ou le domaine observés au cours des 30 derniers jours.

Examiner une URL ou un domaine

  1. Sélectionnez URL dans le menu déroulant de la barre de Recherche.

  2. Entrez l’URL dans le champ Recherche. Vous pouvez également accéder à l’URL ou au domaine à partir de l’onglet Incident d’attaque, de l’chronologie de l’appareil, via la chasse avancée ou à partir du panneau et de la page de l’e-mail.

  3. Cliquez sur l’icône de recherche ou appuyez sur Entrée. Les détails de l’URL sont affichés.

    Remarque

    Recherche résultats ne seront retournés que pour les URL observées dans les communications à partir d’appareils du organization.

  4. Utilisez les filtres de recherche pour définir les critères de recherche. Vous pouvez également utiliser la zone de recherche chronologie pour filtrer les résultats affichés de tous les appareils dans le organization qui communiquent avec l’URL, le fichier associé à la communication et la dernière date observée.

  5. En cliquant sur l’un des noms d’appareils, vous accédez à l’affichage de cet appareil, où vous pouvez continuer à examiner les alertes, les comportements et les événements signalés. **

  6. Si vous n’êtes pas d’accord avec le verdict d’une URL ou d’un domaine, vous pouvez le signaler à Microsoft en tant que propre, hameçonnage ou malveillant en sélectionnant **Envoyer à Microsoft pour analyse.

Option Envoyer pour analyse dans la page URL/domaine

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.