도메인 및 URL 조사

적용 대상:

• 엔드포인트용 Microsoft Defender 플랜 1
• 엔드포인트용 Microsoft Defender 플랜 2
• Microsoft Defender XDR

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

도메인을 조사하여 엔터프라이즈 네트워크의 디바이스 및 서버가 알려진 악성 도메인과 통신하고 있는지 확인합니다.

검색 기능, 인시던트 환경(증거 탭 또는 경고 스토리), 고급 헌팅, 전자 메일 페이지 및 측면 패널 또는 디바이스 타임라인 URL 또는 도메인 링크를 클릭하여 URL 또는 도메인을 조사할 수 있습니다.

URL 및 도메인 보기에서 다음 섹션의 정보를 볼 수 있습니다.

• 도메인 세부 정보, 등록자 연락처 정보

• Microsoft 평결

• 이 URL 또는 도메인과 관련된 인시던트 및 경고

• organization URL 또는 도메인의 보급

• URL 또는 도메인이 있는 가장 최근에 관찰된 디바이스

• URL 또는 도메인을 포함하는 최신 전자 메일

• URL 또는 도메인에 대한 가장 최근의 클릭

도메인 엔터티

URL 페이지 또는 측면 패널의 도메인 세부 정보에서 도메인 페이지로 피벗할 수 있습니다. 도메인 페이지 보기 링크를 클릭하기만 하면 됩니다. 도메인 엔터티는 FQDN(정규화된 도메인 이름)을 사용하여 URL의 모든 데이터를 집계하는 것을 보여 줍니다. 예를 들어, 한 디바이스가 와 sub.domain.tld/path1통신하는 것을 관찰하고 다른 디바이스가 와 sub.domain.tld/path2통신하는 것을 관찰하는 경우 위의 각 URL은 하나의 디바이스 관찰을 표시하고 도메인은 두 디바이스 관찰을 표시합니다. 이 경우 와 othersub.domain.tld/path 통신한 디바이스는 이 도메인 페이지 othersub.domain.tld와 상관 관계가 아니라 와 상관 관계가 있습니다.

URL 및 도메인 개요

URL 전 세계 섹션에는 URL, whois의 추가 세부 정보 링크, 관련 열린 인시던트 수 및 활성 경고 수, 영향을 받는 디바이스 수, 전자 메일 및 관찰된 사용자 클릭 수가 나열됩니다.

URL 요약 세부 정보

쿼리 매개 변수 및 애플리케이션 수준 프로토콜을 사용하여 원래 URL(기존 URL 정보)을 표시합니다. 아래에서 등록 날짜, 수정 날짜 및 등록자 연락처 정보와 같은 전체 도메인 세부 정보를 찾을 수 있습니다.

URL 또는 도메인, 디바이스 보급, 전자 메일 및 사용자 클릭 섹션에 대한 Microsoft의 평결입니다. 이 영역에서는 지난 30일 동안 URL 또는 도메인과 통신한 디바이스 수를 확인하고 디바이스의 첫 번째 또는 마지막 이벤트로 바로 피벗할 수 타임라인. 초기 액세스를 조사하거나 사용자 환경에 여전히 악의적인 활동이 있는지 여부를 조사합니다.

인시던트 및 경고

인시던트 및 경고 섹션은 지난 180일 동안 인시던트에 있는 모든 활성 경고의 가로 막대형 차트를 표시합니다.

Microsoft 평결

Microsoft 평결 섹션에는 Microsoft TI 라이브러리의 URL 또는 도메인에 대한 평결이 표시됩니다. URL 또는 도메인이 이미 피싱 또는 악성 엔터티로 알려져 있는지 여부를 표시합니다.

유행

보급 섹션에서는 지난 30일 동안의 organization 내 URL 보급 및 추세 차트에 대한 세부 정보를 제공합니다. 이 차트는 특정 기간 동안 URL 또는 도메인과 통신한 고유 디바이스의 수를 보여 줍니다. 아래에서 지난 30일 동안 URL과 통신한 첫 번째 및 마지막 디바이스 관찰에 대한 세부 정보를 찾을 수 있습니다. 여기서 바로 디바이스 타임라인 피벗하거나, 피싱 링크에서 초기 액세스를 조사하거나, 사용자 환경에 악의적인 통신이 여전히 있는지 조사할 수 있습니다.

인시던트 및 경고

인시던트 및 경고 탭은 URL 또는 도메인과 연결된 인시던트 목록을 제공합니다. 여기에 표시된 테이블은 URL 또는 도메인, 심각도, 영향을 받은 자산 등과 관련된 인시던트만 보여 주는 인시던트 큐 화면에 표시되는 필터링된 버전의 인시던트입니다.

열 머리글 위의 작업 메뉴에서 열 사용자 지정 을 선택하여 더 많거나 적은 정보를 표시하도록 인시던트 및 경고 탭을 조정할 수 있습니다. 동일한 메뉴에서 페이지당 항목을 선택하여 표시되는 항목 수를 조정할 수도 있습니다.

디바이스

디바이스 탭은 특정 URL 또는 도메인에 대해 관찰된 모든 디바이스의 시간순 보기를 제공합니다. 이 탭에는 추세 차트와 위험 수준, 도메인 등과 같은 디바이스 세부 정보를 나열하는 사용자 지정 가능한 테이블이 포함되어 있습니다. 그 외에도 디바이스가 URL 또는 도메인과 상호 작용하는 첫 번째 및 마지막 이벤트 시간과 이 이벤트의 작업 유형을 볼 수 있습니다. 디바이스 이름 옆에 있는 메뉴를 사용하여 디바이스 타임라인 신속하게 피벗하여 이 URL 또는 도메인과 관련된 이벤트 전후에 발생한 작업을 추가로 조사할 수 있습니다.

기본 기간은 지난 30일이지만 카드 모서리에 있는 드롭다운에서 사용자 지정할 수 있습니다. 사용 가능한 가장 짧은 범위는 지난 날의 보급을 위한 것이고, 가장 긴 범위는 지난 6개월 동안입니다.

테이블 위의 내보내기 단추를 사용하여 추가 조사 및 보고를 위해 모든 데이터를 .csv 파일(첫 번째 및 마지막 이벤트 시간 및 작업 유형 포함)으로 내보낼 수 있습니다.

전자 메일

이메일 탭은 URL 또는 도메인이 포함된 지난 30일 동안 관찰된 모든 전자 메일에 대한 자세한 보기를 제공합니다. 이 탭에는 추세 차트와 제목, 보낸 사람, 받는 사람 등과 같은 전자 메일 세부 정보를 나열하는 사용자 지정 가능한 테이블이 포함되어 있습니다.

클릭 횟수

클릭 탭은 지난 30일 동안 관찰된 URL 또는 도메인에 대한 모든 클릭에 대한 자세한 보기를 제공합니다.

URL 또는 도메인 조사

1. Search 표시줄 드롭다운 메뉴에서 URL을 선택합니다.

2. Search 필드에 URL을 입력합니다. 또는 인시던트 공격 스토리 탭, 디바이스 타임라인, 고급 헌팅 또는 이메일 쪽 패널 및 페이지에서 URL 또는 도메인으로 이동할 수 있습니다.

3. 검색 아이콘을 클릭하거나 Enter 키를 누릅니 다. URL에 대한 세부 정보가 표시됩니다.

   참고

   Search 결과는 organization 디바이스의 통신에서 관찰된 URL에 대해서만 반환됩니다.

4. 검색 필터를 사용하여 검색 조건을 정의합니다. 타임라인 검색 상자를 사용하여 URL과 통신하는 organization 관찰된 모든 디바이스의 표시된 결과, 통신과 연결된 파일 및 관찰된 마지막 날짜를 필터링할 수도 있습니다.

5. 디바이스 이름을 클릭하면 해당 디바이스의 보기로 이동하여 보고된 경고, 동작 및 이벤트를 계속 조사할 수 있습니다. **

6. URL 또는 도메인의 판결에 동의하지 않는 경우 분석을 위해 **Microsoft에 제출을 선택하여 microsoft에 클린, 피싱 또는 악의적인 것으로 보고할 수 있습니다.

관련 문서

• 엔드포인트용 Microsoft Defender 경고 큐 보기 및 구성
• 엔드포인트용 Microsoft Defender 경고 관리
• 엔드포인트용 Microsoft Defender 경고 조사
• 엔드포인트용 Microsoft Defender 경고와 연결된 파일 조사
• 엔드포인트용 Microsoft Defender 디바이스 목록에서 디바이스 조사
• 엔드포인트용 Microsoft Defender 경고와 연결된 IP 주소 조사
• 엔드포인트용 Microsoft Defender 사용자 계정 조사

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.