Domeinen en URL's onderzoeken die zijn gekoppeld aan een Microsoft Defender voor Eindpunt-waarschuwing

  • Artikel
  • 4 minuten om te lezen

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Onderzoek een domein om te zien of de apparaten en servers in uw bedrijfsnetwerk hebben gecommuniceerd met een bekend schadelijk domein.

U kunt een URL of domein onderzoeken met behulp van de zoekfunctie, vanuit de incidentervaring (op het tabblad Bewijs of vanuit het waarschuwingsbericht) of door op de URL of domeinkoppeling in de tijdlijn van het apparaat te klikken.

U ziet informatie uit de volgende secties in de URL- en domeinweergave:

  • Domeingegevens, contactgegevens van de registrant

  • Microsoft-oordeel

  • Incidenten met betrekking tot deze URL of dit domein

  • Prevalentie van de URL of het domein in de organisatie

  • Meest recent waargenomen apparaten met URL of domein

De overzichtssectie van de nieuwe URL-domeinpagina & in één oogopslag.

Domeinentiteit

U kunt naar de domeinpagina draaien vanuit de domeindetails op de URL-pagina of het zijpaneel. Klik op de koppeling Domeinpagina weergeven . De domeinentiteit toont een aggregatie van alle gegevens uit de URL's met de FQDN (Fully Qualified Domain Name). Als bijvoorbeeld wordt waargenomen dat een apparaat communiceert met sub.domain.tld/path1en een ander apparaat communiceert met sub.domain.tld/path2, toont elke URL van het bovenstaande één apparaatobservatie en het domein de twee apparaatobservaties. In dit geval correleert een apparaat waarmee wordt gecommuniceerd niet met othersub.domain.tld/path deze domeinpagina, maar met othersub.domain.tld.

URL en domeinoverzicht

De sectie URL worldwide bevat de URL, een koppeling naar meer informatie bij Whois, het aantal gerelateerde openstaande incidenten en het aantal actieve waarschuwingen.

URL-samenvattingsdetails

Geeft de oorspronkelijke URL (bestaande URL-informatie) weer, met de queryparameters en het protocol op toepassingsniveau. Hieronder vindt u de volledige domeingegevens, zoals registratiedatum, wijzigingsdatum en contactgegevens van de registrant.

Microsoft-beoordeling van de URL of het domein en de sectie over de prevalentie van een apparaat. In dit gebied ziet u het aantal apparaten dat de afgelopen 30 dagen met de URL of het domein heeft gecommuniceerd en direct naar de eerste of laatste gebeurtenis in de tijdlijn van het apparaat draait. Om de initiële toegang te onderzoeken of er nog steeds schadelijke activiteiten in uw omgeving zijn.

Incidenten en waarschuwingen

In de sectie Incident en waarschuwingen wordt een staafdiagram weergegeven met alle actieve waarschuwingen in incidenten in de afgelopen 180 dagen.

Microsoft Verdict

In de sectie Microsoft-beoordeling wordt het oordeel van de URL of het domein uit de Microsoft TI-bibliotheek weergegeven. U ziet of de URL of het domein al bekend staat als phishing of schadelijke entiteit.

Prevalentie

De sectie Prevalentie bevat de details van de prevalentie van de URL binnen de organisatie, gedurende de afgelopen 30 dagen, zoals een trenddiagram, waarin het aantal afzonderlijke apparaten wordt weergegeven dat gedurende een bepaalde periode met de URL of het domein heeft gecommuniceerd. Hieronder vindt u details van de eerste en laatste apparaatobservaties die in de afgelopen 30 dagen met de URL zijn gecommuniceerd, waar u direct naar de tijdlijn van het apparaat kunt draaien om de eerste toegang via de phish-koppeling te onderzoeken of als er nog steeds een schadelijke communicatie in uw omgeving is.

Incident en waarschuwingen

Het tabblad Incident en waarschuwingen bevat een lijst met incidenten die zijn gekoppeld aan de URL of het domein.

Het tabblad Incident en waarschuwingen bevat een lijst met incidenten die zijn gekoppeld aan de URL of het domein. De tabel die hier wordt weergegeven, is een gefilterde versie van de incidenten die zichtbaar zijn in het scherm Incidentwachtrij, met alleen incidenten die zijn gekoppeld aan de URL of het domein, de ernst ervan, de betrokken assets en meer.

Het tabblad Incidenten en waarschuwingen kan worden aangepast om meer of minder informatie weer te geven door Kolommen aanpassen te selecteren in het actiemenu boven de kolomkoppen. Het aantal weergegeven items kan ook worden aangepast door items per pagina in hetzelfde menu te selecteren.

Apparaten

Op het tabblad Apparaat wordt het aantal afzonderlijke apparaten weergegeven dat gedurende een bepaalde periode met de URL of het domein heeft gecommuniceerd.

Het tabblad Apparaten biedt een chronologische weergave van alle apparaten die zijn waargenomen voor een specifieke URL of een domein. Dit tabblad bevat een trenddiagram en een aanpasbare tabel met apparaatdetails, zoals risiconiveau, domein en meer. Daarnaast kunt u de eerste en laatste gebeurtenistijden zien waarop het apparaat interactie heeft gehad met de URL of het domein, en het actietype van deze gebeurtenis. Met behulp van het menu naast de apparaatnaam kunt u snel naar de tijdlijn van het apparaat draaien om verder te onderzoeken wat er is gebeurd vóór of na de gebeurtenis waarbij deze URL of domein betrokken was.

Hoewel de standaardperiode de afgelopen 30 dagen is, kunt u dit aanpassen vanuit de vervolgkeuzelijst in de hoek van de kaart. Het kortste bereik dat beschikbaar is, is voor de prevalentie van de afgelopen dag, terwijl het langste bereik de afgelopen zes maanden is.

Met de knop Exporteren boven de tabel kunt u alle gegevens exporteren naar een .csv-bestand (inclusief de eerste en laatste gebeurtenistijd en het actietype), voor verder onderzoek en rapportage.

Een URL of domein onderzoeken

  1. Selecteer URL in de vervolgkeuzelijst Zoekbalk .

  2. Voer de URL in het veld Zoeken in.

  3. Klik op het zoekpictogram of druk op Enter. Details over de URL worden weergegeven.

    Opmerking

    Zoekresultaten worden alleen geretourneerd voor URL's die worden waargenomen in communicatie van apparaten in de organisatie.

  4. Gebruik de zoekfilters om de zoekcriteria te definiëren. U kunt ook het zoekvak voor de tijdlijn gebruiken om de weergegeven resultaten te filteren van alle apparaten in de organisatie die communiceren met de URL, het bestand dat is gekoppeld aan de communicatie en de laatste waargenomen datum.

  5. Als u op een van de apparaatnamen klikt, gaat u naar de weergave van dat apparaat, waar u meldingen, gedrag en gebeurtenissen kunt blijven onderzoeken.