Tartományok és URL-címek vizsgálata

Érintett szolgáltatás:

• Végponthoz készült Microsoft Defender 1. csomag
• Végponthoz készült Microsoft Defender 2. csomag
• Microsoft Defender XDR

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Vizsgálja meg a tartományt, és ellenőrizze, hogy a vállalati hálózatban lévő eszközök és kiszolgálók kommunikáltak-e egy ismert kártékony tartománnyal.

Egy URL-címet vagy tartományt megvizsgálhat a keresési funkcióval, az incidensfelületről (a Bizonyítékok lapon vagy a riasztási történetből), a speciális veszélyforrás-keresésből, az e-mail oldalról és az oldalpanelről, vagy az Eszköz idővonalán található URL-címre vagy tartományra kattintva.

Az URL-cím és a tartomány nézetben a következő szakaszokból tekintheti meg az információkat:

• Tartomány adatai, regisztráló kapcsolattartási adatai

• Microsoft-ítélet

• Az URL-címhez vagy tartományhoz kapcsolódó incidensek és riasztások

• Az URL-cím vagy tartomány elterjedtsége a szervezetben

• Legutóbbi megfigyelt eszközök URL-címmel vagy tartománnyal

• Az URL-címet vagy tartományt tartalmazó legutóbbi e-mailek

• Legutóbbi kattintások az URL-címre vagy tartományra

Tartományi entitás

Az URL-cím lapon vagy az oldalpanelen a tartomány adatai között válthat a tartománylapon, csak kattintson a Tartomány lapjának megtekintése hivatkozásra. A tartományi entitás az URL-címekből származó összes adat összesítését jeleníti meg a teljes tartománynévvel (teljes tartománynév). Ha például megfigyeli, hogy egy eszköz kommunikál a eszközzel sub.domain.tld/path1, és egy másik eszköz kommunikál a következővel sub.domain.tld/path2, a fenti URL-címek mindegyike egy eszközmegfigyelést jelenít meg, a tartomány pedig a két eszközmegfigyelést. Ebben az esetben a kapcsolattal othersub.domain.tld/path kommunikáló eszközök nem ehhez a tartománylaphoz, hanem a következőhöz othersub.domain.tldkapcsolódnak: .

URL-cím és tartomány áttekintése

Az URL-cím világszerte szakasz felsorolja az URL-címet, a whois-ra mutató további részletekre mutató hivatkozást, a kapcsolódó nyitott incidensek számát, valamint az aktív riasztások számát, az érintett eszközök, e-mailek számát és a megfigyelt felhasználói kattintások számát.

URL-cím összegzésének részletei

Megjeleníti az eredeti URL-címet (a meglévő URL-információkat), a lekérdezési paraméterekkel és az alkalmazásszintű protokollal együtt. Az alábbiakban megtalálhatja a tartomány teljes adatait, például a regisztráció dátumát, a módosítás dátumát és a regisztráló kapcsolattartási adatait.

A Microsoft ítélete az URL-címről vagy tartományról, az eszközök elterjedtségéről, az e-mailekről és a felhasználók kattintási szakaszáról. Ezen a területen láthatja az url-címmel vagy tartománnyal az elmúlt 30 napban kommunikáló eszközök számát, és azonnal az eszköz idővonalának első vagy utolsó eseményéhez forgathat. A kezdeti hozzáférés vizsgálatához, vagy ha még mindig rosszindulatú tevékenység van a környezetben.

Incidensek és riasztások

Az Incidens és riasztások szakasz egy sávdiagramot jelenít meg az incidensekben az elmúlt 180 napban történt összes aktív riasztásról.

Microsoft-ítélet

A Microsoft ítéletek szakasza a Microsoft TI-kódtárBÓL származó URL-cím vagy tartomány ítéletét jeleníti meg. Azt mutatja, hogy az URL-cím vagy tartomány már adathalász vagy rosszindulatú entitásként ismert-e.

Előfordulása

Az Elterjedtség szakasz részletesen bemutatja az URL-cím elterjedtségét a szervezeten belül az elmúlt 30 napban, ilyen és trenddiagramot, amely az URL-címmel vagy tartománysal egy adott időszakban kommunikáló különböző eszközök számát mutatja. Az alábbiakban megtalálhatja az URL-címmel az elmúlt 30 napban kommunikált első és utolsó eszközmegfigyelések részleteit, ahol azonnal az eszköz idővonalára forgathat, megvizsgálhatja az adathalász hivatkozásból való kezdeti hozzáférést, vagy ha még mindig rosszindulatú kommunikáció van a környezetben.

Incidens és riasztások

Az incidensek és riasztások lap az URL-címhez vagy tartományhoz társított incidensek listáját tartalmazza. Az itt látható táblázat az incidenssor képernyőjén látható incidensek szűrt verziója, amely csak az URL-címhez vagy tartományhoz társított incidenseket, azok súlyosságát, az érintett objektumokat és egyebeket jeleníti meg.

Az incidensek és riasztások lap úgy módosítható, hogy több vagy kevesebb információt jelenítsen meg, ha az oszlopfejlécek fölötti műveletmenü Oszlopok testreszabása elemét választja. A megjelenített elemek száma is módosítható, ha ugyanazon a menüben kijelöli az elemeket oldalanként.

Eszközök

Az Eszközök lap időrendben jeleníti meg az adott URL-címhez vagy tartományhoz megfigyelt összes eszközt. Ez a lap egy trenddiagramot és egy testre szabható táblázatot tartalmaz, amely az eszköz részleteit tartalmazza, például a kockázati szintet, a tartományt és egyebeket. Ezen kívül láthatja az első és utolsó eseményidőt, amikor az eszköz az URL-címmel vagy a tartománnyal kommunikált, valamint az esemény művelettípusát. Az eszköz neve melletti menü használatával gyorsan elforgathatja az eszköz idővonalát, hogy tovább vizsgálja, mi történt az URL-címet vagy tartományt tartalmazó esemény előtt vagy után.

Bár az alapértelmezett időszak az elmúlt 30 nap, ezt testre szabhatja a kártya sarkában található legördülő listából. A rendelkezésre álló legrövidebb tartomány az elmúlt nap elterjedtsége, míg a leghosszabb tartomány az elmúlt hat hónapra esik.

A tábla feletti Exportálás gombbal az összes adatot exportálhatja egy .csv fájlba (beleértve az első és az utolsó esemény időpontját és művelettípusát), további vizsgálat és jelentéskészítés céljából.

E-mail

Az E-mailek lap részletes áttekintést nyújt az elmúlt 30 napban az URL-címet vagy tartományt tartalmazó összes e-mailről. Ez a lap egy trenddiagramot és egy testre szabható táblázatot tartalmaz, amely az e-mail részleteit tartalmazza, például a tárgyat, a feladót, a címzettet és egyebeket.

Kattintás

A Kattintások lap részletes áttekintést nyújt az elmúlt 30 napban megfigyelt URL-címre vagy tartományra mutató összes kattintásról.

URL-cím vagy tartomány vizsgálata

1. Válassza az URL-címet a Keresés sáv legördülő menüjéből.

2. Írja be az URL-címet a Keresés mezőbe. Másik lehetőségként navigálhat az URL-címre vagy tartományra az Incidenstámadási történet lapon, az eszköz idővonaláról, a speciális veszélyforrás-keresésen keresztül, vagy az e-mail oldalpaneljéről és oldaláról.

3. Kattintson a keresés ikonra, vagy nyomja le az Enter billentyűt. Megjelennek az URL-cím részletei.

   Megjegyzés:

   Keresés eredmények csak a szervezet eszközeinek kommunikációjában megfigyelt URL-címekre lesznek visszaadva.

4. A keresési feltételek meghatározásához használja a keresési szűrőket. Az idősor keresőmezőjével szűrheti a szervezet összes eszközének megjelenített eredményeit, amelyek az URL-címmel, a kommunikációhoz társított fájllal és az utolsó megfigyelt dátummal kommunikáltak.

5. Bármelyik eszköznévre kattintva megnyílik az eszköz nézete, ahol továbbra is megvizsgálhatja a jelentett riasztásokat, viselkedéseket és eseményeket. **

6. Ha nem ért egyet egy URL-cím vagy tartomány ítéletével, a **Küldés a Microsoftnak elemzésre lehetőséget választva jelentheti azt tiszta, adathalász vagy rosszindulatúként a Microsoftnak.

Kapcsolódó cikkek

• A Végponthoz készült Microsoft Defender-riasztások üzenetsorának megtekintése és rendszerezése
• Végponthoz készült Microsoft Defender-riasztások kezelése
• Végponthoz készült Microsoft Defender-riasztások vizsgálata
• Végponthoz készült Microsoft Defender-riasztáshoz társított fájl vizsgálata
• Eszközök vizsgálata a Végponthoz készült Microsoft Defender Eszközök listában
• Végponthoz készült Microsoft Defender-riasztáshoz társított IP-cím vizsgálata
• Felhasználói fiók vizsgálata a Végponthoz készült Microsoft Defender-ben

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.