Analizzare domini e URL
Si applica a:
- Microsoft Defender per endpoint Piano 1
- Microsoft Defender per endpoint Piano 2
- Microsoft Defender XDR
Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.
Esaminare un dominio per verificare se i dispositivi e i server nella rete aziendale comunicano con un dominio dannoso noto.
È possibile analizzare un URL o un dominio usando la funzionalità di ricerca, dall'esperienza dell'evento imprevisto (nella scheda dell'evidenza o dalla storia dell'avviso), dalla ricerca avanzata, dalla pagina di posta elettronica e dal pannello laterale oppure facendo clic sull'URL o sul collegamento di dominio dalla sequenza temporale del dispositivo.
È possibile visualizzare informazioni dalle sezioni seguenti nella visualizzazione URL e dominio:
Dettagli dominio, informazioni di contatto del registrante
Verdetto microsoft
Eventi imprevisti e avvisi correlati a questo URL o dominio
Prevalenza dell'URL o del dominio nell'organizzazione
Dispositivi osservati più recenti con URL o dominio
Messaggi di posta elettronica più recenti contenenti l'URL o il dominio
Clic più recenti sull'URL o sul dominio
Entità di dominio
È possibile passare alla pagina di dominio tramite pivot dai dettagli del dominio nella pagina URL o nel pannello laterale, facendo clic sul collegamento Visualizza pagina dominio . L'entità di dominio mostra un'aggregazione di tutti i dati dagli URL con il nome di dominio completo (nome di dominio completo). Ad esempio, se si osserva un dispositivo che comunica con sub.domain.tld/path1
e un altro dispositivo comunica con sub.domain.tld/path2
, ogni URL di quanto sopra mostrerà un'osservazione del dispositivo e il dominio mostrerà le due osservazioni del dispositivo. In questo caso, un dispositivo con othersub.domain.tld/path
cui è stata comunicata non sarà correlato a questa pagina di dominio, ma a othersub.domain.tld
.
Panoramica di URL e dominio
La sezione URL in tutto il mondo elenca l'URL, un collegamento ad altri dettagli su whois, il numero di eventi imprevisti aperti correlati e il numero di avvisi attivi, il numero di dispositivi interessati, i messaggi di posta elettronica e il numero di clic dell'utente osservati.
Dettagli di riepilogo URL
Visualizza l'URL originale (informazioni sull'URL esistente) con i parametri di query e il protocollo a livello di applicazione. Di seguito è possibile trovare i dettagli completi del dominio, ad esempio la data di registrazione, la data di modifica e le informazioni di contatto del registrante.
Verdetto Microsoft dell'URL o del dominio, una sezione relativa alla prevalenza dei dispositivi, ai messaggi di posta elettronica e ai clic dell'utente. In questa area è possibile visualizzare il numero di dispositivi che hanno comunicato con l'URL o il dominio negli ultimi 30 giorni e passare immediatamente al primo o all'ultimo evento nella sequenza temporale del dispositivo. Per analizzare l'accesso iniziale o se è ancora presente un'attività dannosa nell'ambiente.
Eventi imprevisti e avvisi
La sezione Eventi imprevisti e avvisi visualizza un grafico a barre di tutti gli avvisi attivi negli eventi imprevisti negli ultimi 180 giorni.
Verdetto microsoft
Nella sezione Verdetto Microsoft viene visualizzato il verdetto dell'URL o del dominio della libreria Microsoft TI. Indica se l'URL o il dominio è già noto come phishing o entità dannosa.
Prevalenza
La sezione Prevalenza fornisce i dettagli sulla prevalenza dell'URL all'interno dell'organizzazione, negli ultimi 30 giorni, grafico di tendenza e di questo tipo, che mostra il numero di dispositivi distinti che hanno comunicato con l'URL o il dominio in un determinato periodo di tempo. Di seguito è possibile trovare i dettagli della prima e dell'ultima osservazione del dispositivo comunicata con l'URL negli ultimi 30 giorni, in cui è possibile passare immediatamente alla sequenza temporale del dispositivo, per analizzare l'accesso iniziale dal collegamento phish o se è ancora presente una comunicazione dannosa nell'ambiente.
Eventi imprevisti e avvisi
La scheda eventi imprevisti e avvisi fornisce un elenco di eventi imprevisti associati all'URL o al dominio. La tabella mostrata qui è una versione filtrata degli eventi imprevisti visibile nella schermata Coda eventi imprevisti, che mostra solo gli eventi imprevisti associati all'URL o al dominio, la relativa gravità, gli asset interessati e altro ancora.
La scheda Eventi imprevisti e avvisi può essere modificata per visualizzare più o meno informazioni selezionando Personalizza colonne dal menu azione sopra le intestazioni di colonna. È anche possibile modificare il numero di elementi visualizzati selezionando gli elementi per pagina nello stesso menu.
Dispositivi
La scheda Dispositivi fornisce una visualizzazione cronologica di tutti i dispositivi osservati per un URL specifico o un dominio. Questa scheda include un grafico delle tendenze e una tabella personalizzabile che elenca i dettagli del dispositivo, ad esempio il livello di rischio, il dominio e altro ancora. Oltre a questo, è possibile visualizzare il primo e l'ultimo evento in cui il dispositivo ha interagito con l'URL o il dominio e il tipo di azione di questo evento. Usando il menu accanto al nome del dispositivo, è possibile passare rapidamente alla sequenza temporale del dispositivo per analizzare ulteriormente cosa è successo prima o dopo l'evento che ha coinvolto questo URL o dominio.
Anche se il periodo di tempo predefinito è degli ultimi 30 giorni, è possibile personalizzare questo elemento dall'elenco a discesa disponibile nell'angolo della scheda. L'intervallo più breve disponibile è per la prevalenza nell'ultimo giorno, mentre l'intervallo più lungo è negli ultimi sei mesi.
Usando il pulsante esporta sopra la tabella, è possibile esportare tutti i dati in un file di .csv (inclusi la prima e l'ultima ora dell'evento e il tipo di azione) per ulteriori indagini e report.
Messaggi di posta elettronica
La scheda Messaggi di posta elettronica fornisce una visualizzazione dettagliata di tutti i messaggi di posta elettronica osservati negli ultimi 30 giorni che contenevano l'URL o il dominio. Questa scheda include un grafico delle tendenze e una tabella personalizzabile che elenca i dettagli di posta elettronica, ad esempio oggetto, mittente, destinatario e altro ancora.
Clic
La scheda Clic fornisce una visualizzazione dettagliata di tutti i clic sull'URL o sul dominio osservati negli ultimi 30 giorni.
Analizzare un URL o un dominio
Selezionare URL dal menu a discesa della barra Search.
Immettere l'URL nel campo Search. In alternativa, è possibile passare all'URL o al dominio dalla scheda Storia dell'attacco imprevisto, dalla sequenza temporale del dispositivo, alla ricerca avanzata o dal pannello e dalla pagina lato posta elettronica.
Fare clic sull'icona di ricerca o premere INVIO. Vengono visualizzati i dettagli sull'URL.
Nota
Search risultati verranno restituiti solo per gli URL osservati nelle comunicazioni dai dispositivi dell'organizzazione.
Usare i filtri di ricerca per definire i criteri di ricerca. È anche possibile usare la casella di ricerca della sequenza temporale per filtrare i risultati visualizzati di tutti i dispositivi dell'organizzazione che comunicano con l'URL, il file associato alla comunicazione e l'ultima data osservata.
Se si fa clic su uno dei nomi dei dispositivi, si accede alla visualizzazione del dispositivo, in cui è possibile continuare a analizzare avvisi, comportamenti ed eventi segnalati. **
Se non si è d'accordo con il verdetto di un URL o di un dominio, è possibile segnalarlo a Microsoft come pulito, phishing o dannoso selezionando **Invia a Microsoft per l'analisi.
Articoli correlati
- Visualizzare e organizzare la coda degli avvisi di Microsoft Defender per endpoint
- Gestire gli avvisi di Microsoft Defender per endpoint
- Analizzare gli avvisi Microsoft Defender per endpoint
- Analizzare un file associato a un avviso di Microsoft Defender per endpoint
- Analizzare i dispositivi nell'elenco dispositivi Microsoft Defender per endpoint
- Analizzare un indirizzo IP associato a un avviso di Microsoft Defender per endpoint
- Analizzare un account utente in Microsoft Defender per endpoint
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.