Domeinen en URL's onderzoeken
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Onderzoek een domein om te zien of de apparaten en servers in uw bedrijfsnetwerk hebben gecommuniceerd met een bekend schadelijk domein.
U kunt een URL of domein onderzoeken met behulp van de zoekfunctie, via de incidentervaring (op het tabblad Bewijs of in het waarschuwingsbericht), via geavanceerde opsporing, via de e-mailpagina en het zijpaneel, of door te klikken op de URL of domeinkoppeling in de tijdlijn van het apparaat.
U ziet informatie uit de volgende secties in de URL- en domeinweergave:
Domeingegevens, contactgegevens van de registrant
Microsoft-oordeel
Incidenten en waarschuwingen met betrekking tot deze URL of dit domein
Prevalentie van de URL of het domein in de organisatie
Meest recent waargenomen apparaten met URL of domein
Meest recente e-mailberichten met de URL of het domein
Meest recente klikken op de URL of het domein
Domeinentiteit
U kunt naar de domeinpagina draaien vanuit de domeindetails op de URL-pagina of het zijpaneel. Klik op de koppeling Domeinpagina weergeven . De domeinentiteit toont een aggregatie van alle gegevens uit de URL's met de FQDN (Fully Qualified Domain Name). Als bijvoorbeeld wordt waargenomen dat een apparaat communiceert met sub.domain.tld/path1
en een ander apparaat communiceert met sub.domain.tld/path2
, toont elke URL van het bovenstaande één apparaatobservatie en toont het domein de twee apparaatobservaties. In dit geval correleert een apparaat waarmee wordt gecommuniceerd niet met othersub.domain.tld/path
deze domeinpagina, maar met othersub.domain.tld
.
URL en domeinoverzicht
De sectie URL wereldwijd bevat de URL, een koppeling naar meer informatie over whois, het aantal gerelateerde openstaande incidenten en het aantal actieve waarschuwingen, het aantal betrokken apparaten, e-mailberichten en het aantal waargenomen gebruikersklikken.
URL-samenvattingsdetails
Geeft de oorspronkelijke URL (bestaande URL-informatie) weer, met de queryparameters en het protocol op toepassingsniveau. Hieronder vindt u de volledige domeingegevens, zoals registratiedatum, wijzigingsdatum en contactgegevens van de registrant.
Microsoft-beoordeling van de URL of het domein, de prevalentie van een apparaat, e-mailberichten en de sectie gebruikerskliks. In dit gebied ziet u het aantal apparaten dat de afgelopen 30 dagen met de URL of het domein heeft gecommuniceerd en direct naar de eerste of laatste gebeurtenis in de tijdlijn van het apparaat draait. Om de initiële toegang te onderzoeken of er nog steeds schadelijke activiteiten in uw omgeving zijn.
Incidenten en waarschuwingen
In de sectie Incident en waarschuwingen wordt een staafdiagram weergegeven met alle actieve waarschuwingen in incidenten in de afgelopen 180 dagen.
Microsoft-oordeel
In de sectie Microsoft-beoordeling wordt het oordeel van de URL of het domein uit de Microsoft TI-bibliotheek weergegeven. U ziet of de URL of het domein al bekend staat als phishing of schadelijke entiteit.
Prevalentie
De sectie Prevalentie bevat de details van de prevalentie van de URL binnen de organisatie, gedurende de afgelopen 30 dagen, zoals en trendgrafiek, waarin het aantal afzonderlijke apparaten wordt weergegeven dat gedurende een bepaalde periode met de URL of het domein heeft gecommuniceerd. Hieronder vindt u details van de eerste en laatste apparaatobservaties die in de afgelopen 30 dagen met de URL zijn gecommuniceerd, waar u direct naar de tijdlijn van het apparaat kunt draaien om de eerste toegang via de phish-koppeling te onderzoeken of er nog steeds sprake is van schadelijke communicatie in uw omgeving.
Incident en waarschuwingen
Het tabblad Incident en waarschuwingen bevat een lijst met incidenten die zijn gekoppeld aan de URL of het domein. De tabel die hier wordt weergegeven, is een gefilterde versie van de incidenten die zichtbaar zijn in het scherm Incidentwachtrij, met alleen incidenten die zijn gekoppeld aan de URL of het domein, de ernst ervan, de betrokken assets en meer.
Het tabblad Incidenten en waarschuwingen kan worden aangepast om meer of minder informatie weer te geven door Kolommen aanpassen te selecteren in het actiemenu boven de kolomkoppen. Het aantal weergegeven items kan ook worden aangepast door items per pagina in hetzelfde menu te selecteren.
Apparaten
Het tabblad Apparaten biedt een chronologische weergave van alle apparaten die zijn waargenomen voor een specifieke URL of een domein. Dit tabblad bevat een trenddiagram en een aanpasbare tabel met apparaatdetails, zoals risiconiveau, domein en meer. Daarnaast kunt u de eerste en laatste gebeurtenistijden zien waarop het apparaat interactie heeft gehad met de URL of het domein, en het actietype van deze gebeurtenis. Met behulp van het menu naast de apparaatnaam kunt u snel naar de tijdlijn van het apparaat draaien om verder te onderzoeken wat er is gebeurd vóór of na de gebeurtenis waarbij deze URL of domein betrokken was.
Hoewel de standaardperiode de afgelopen 30 dagen is, kunt u dit aanpassen vanuit de vervolgkeuzelijst in de hoek van de kaart. Het kortste bereik dat beschikbaar is, is voor de prevalentie van de afgelopen dag, terwijl het langste bereik de afgelopen zes maanden is.
Met de knop Exporteren boven de tabel kunt u alle gegevens exporteren naar een .csv-bestand (inclusief de eerste en laatste gebeurtenistijd en het actietype), voor verder onderzoek en rapportage.
E-mails
Het tabblad E-mailberichten biedt een gedetailleerde weergave van alle e-mailberichten die de afgelopen 30 dagen zijn waargenomen en die de URL of het domein bevatten. Dit tabblad bevat een trenddiagram en een aanpasbare tabel met e-mailgegevens, zoals onderwerp, afzender, geadresseerde en meer.
Klikken
Het tabblad Klikken biedt een gedetailleerde weergave van alle klikken op de URL of het domein die in de afgelopen 30 dagen zijn waargenomen.
Een URL of domein onderzoeken
Selecteer URL in de vervolgkeuzelijst Search balk.
Voer de URL in het veld Search in. U kunt ook naar de URL of het domein navigeren via het tabblad Verhaal van incidentaanvallen, vanaf de tijdlijn van het apparaat, via geavanceerde opsporing of vanuit het deelvenster en de pagina aan de e-mailzijde.
Klik op het zoekpictogram of druk op Enter. Details over de URL worden weergegeven.
Opmerking
Search resultaten worden alleen geretourneerd voor URL's die worden waargenomen in communicatie van apparaten in de organisatie.
Gebruik de zoekfilters om de zoekcriteria te definiëren. U kunt ook het zoekvak voor de tijdlijn gebruiken om de weergegeven resultaten te filteren van alle apparaten in de organisatie die communiceren met de URL, het bestand dat is gekoppeld aan de communicatie en de laatste waargenomen datum.
Als u op een van de apparaatnamen klikt, gaat u naar de weergave van dat apparaat, waar u meldingen, gedrag en gebeurtenissen kunt blijven onderzoeken. **
Als u het niet eens bent met het oordeel van een URL of domein, kunt u deze aan Microsoft rapporteren als schoon, phishing of kwaadaardig door **Verzenden naar Microsoft voor analyse te selecteren.
Verwante artikelen
- De wachtrij Microsoft Defender voor Eindpunt waarschuwingen weergeven en organiseren
- Microsoft Defender voor Eindpunt-waarschuwingen beheren
- Microsoft Defender voor Eindpunt-waarschuwingen onderzoeken
- Een bestand onderzoeken dat is gekoppeld aan een Microsoft Defender voor Eindpunt-waarschuwing
- Apparaten onderzoeken in de lijst Microsoft Defender voor Eindpunt apparaten
- Een IP-adres onderzoeken dat is gekoppeld aan een Microsoft Defender voor Eindpunt-waarschuwing
- Een gebruikersaccount onderzoeken in Microsoft Defender voor Eindpunt
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.