Badanie domen i adresów URL

  • Artykuł

Dotyczy:

Chcesz poznać usługę ochrony punktu końcowego w usłudze Microsoft Defender? Utwórz konto, aby skorzystać z bezpłatnej wersji próbnej.

Zbadaj domenę, aby sprawdzić, czy urządzenia i serwery w sieci przedsiębiorstwa komunikują się ze znaną złośliwą domeną.

Adres URL lub domenę można zbadać za pomocą funkcji wyszukiwania, środowiska zdarzenia (na karcie dowodów lub w historii alertu), zaawansowanego wyszukiwania zagrożeń, strony wiadomości e-mail i panelu bocznego albo klikając adres URL lub link do domeny na osi czasu urządzenia.

Informacje z następujących sekcji można znaleźć w widoku adresu URL i domeny:

  • Szczegóły domeny, informacje kontaktowe rejestrujących

  • Werdykt firmy Microsoft

  • Zdarzenia i alerty związane z tym adresem URL lub domeną

  • Częstość występowania adresu URL lub domeny w organizacji

  • Najnowsze obserwowane urządzenia z adresem URL lub domeną

  • Najnowsze wiadomości e-mail zawierające adres URL lub domenę

  • Najnowsze kliknięcia adresu URL lub domeny

Główna strona adresu URL/domeny

Jednostka domeny

Możesz przestawić się na stronę domeny ze szczegółów domeny na stronie adresu URL lub panelu bocznym, po prostu kliknij link Wyświetl stronę domeny . Jednostka domeny pokazuje agregację wszystkich danych z adresów URL za pomocą nazwy FQDN (w pełni kwalifikowana nazwa domeny). Jeśli na przykład jedno urządzenie jest obserwowane komunikując się z sub.domain.tld/path1usługą , a inne urządzenie jest obserwowane podczas komunikacji z sub.domain.tld/path2usługą , każdy adres URL powyższego adresu URL będzie zawierać jedną obserwację urządzenia, a w domenie zostaną wyświetlone dwie obserwacje urządzenia. W takim przypadku urządzenie, które komunikowało się z programem, nie będzie skorelowane z tą stroną domeny, ale othersub.domain.tldz othersub.domain.tld/path usługą .

Omówienie adresów URL i domeny

Ogólnoświatowy adres URL zawiera listę adresów URL, link do dalszych szczegółów dotyczących whois, liczby powiązanych otwartych zdarzeń oraz liczby aktywnych alertów, liczby urządzeń, wiadomości e-mail i liczby zaobserwowanych kliknięć użytkowników.

Szczegóły podsumowania adresu URL

Wyświetla oryginalny adres URL (istniejące informacje o adresie URL) z parametrami zapytania i protokołem na poziomie aplikacji. Poniżej znajdziesz pełne szczegóły domeny, takie jak data rejestracji, data modyfikacji i informacje kontaktowe rejestrujących.

Werdykt firmy Microsoft w sprawie adresu URL lub domeny, częstości występowania urządzeń, wiadomości e-mail i kliknięć użytkowników. W tym obszarze możesz zobaczyć liczbę urządzeń, które komunikowały się z adresem URL lub domeną w ciągu ostatnich 30 dni, i od razu przestawić się na pierwsze lub ostatnie zdarzenie na osi czasu urządzenia. Aby zbadać początkowy dostęp lub czy w środowisku nadal występuje złośliwe działanie.

Zdarzenia i alerty

Sekcja Zdarzenia i alerty zawiera wykres słupkowy wszystkich aktywnych alertów w zdarzeniach z ostatnich 180 dni.

Werdykt firmy Microsoft

Sekcja Werdykt firmy Microsoft zawiera werdykt adresu URL lub domeny z biblioteki microsoft TI. Pokazuje, czy adres URL lub domena jest już znana jako wyłudzanie informacji lub złośliwa jednostka.

Częstość występowania

Sekcja Częstość występowania zawiera szczegółowe informacje na temat występowania adresu URL w organizacji w ciągu ostatnich 30 dni, takiego i wykresu trendu — który pokazuje liczbę odrębnych urządzeń, które komunikowały się z adresem URL lub domeną w określonym okresie czasu. Poniżej znajdziesz szczegółowe informacje o pierwszych i ostatnich obserwacjach urządzenia przekazanych z adresem URL w ciągu ostatnich 30 dni, gdzie można od razu przestawić się na osi czasu urządzenia, zbadać początkowy dostęp z poziomu linku phish lub czy w twoim środowisku nadal istnieje złośliwa komunikacja.

Zdarzenia i alerty

Karta Zdarzenia i alerty zawiera listę zdarzeń skojarzonych z adresem URL lub domeną.

Karta Zdarzenia i alerty zawiera listę zdarzeń skojarzonych z adresem URL lub domeną. Tabela przedstawiona w tym miejscu to przefiltrowana wersja zdarzeń widocznych na ekranie kolejki zdarzeń pokazująca tylko zdarzenia skojarzone z adresem URL lub domeną, ich ważnością, zasobami, których dotyczy problem i nie tylko.

Kartę Zdarzenia i alerty można dostosować tak, aby wyświetlała więcej lub mniej informacji, wybierając pozycję Dostosuj kolumny z menu akcji nad nagłówkami kolumn. Liczbę wyświetlanych elementów można również dostosować, wybierając elementy na stronę w tym samym menu.

Urządzeń

Na karcie urządzenia jest wyświetlana liczba odrębnych urządzeń, które komunikowały się z adresem URL lub domeną w określonym okresie.

Karta Urządzenia zawiera widok chronologiczny wszystkich urządzeń, które zostały zaobserwowane dla określonego adresu URL lub domeny. Ta karta zawiera wykres trendu i dostosowywalną tabelę zawierającą szczegółowe informacje o urządzeniu, takie jak poziom ryzyka, domena i inne. Poza tym można zobaczyć pierwsze i ostatnie zdarzenia, w których urządzenie wchodziło w interakcję z adresem URL lub domeną, oraz typ akcji tego zdarzenia. Korzystając z menu obok nazwy urządzenia, możesz szybko przełączyć się na oś czasu urządzenia, aby dokładniej zbadać, co wydarzyło się przed lub po zdarzeniu, które dotyczyło tego adresu URL lub domeny.

Chociaż domyślny okres to ostatnie 30 dni, możesz go dostosować z listy rozwijanej dostępnej na rogu karty. Najkrótszy dostępny zakres jest do występowania w ciągu ostatniego dnia, podczas gdy najdłuższy zakres jest w ciągu ostatnich sześciu miesięcy.

Za pomocą przycisku eksportu nad tabelą możesz wyeksportować wszystkie dane do pliku .csv (w tym pierwszego i ostatniego typu zdarzenia i akcji) w celu dalszego zbadania i raportowania.

Wiadomości e-mail

Karta Wiadomości e-mail zawiera szczegółowy widok wszystkich wiadomości e-mail obserwowanych w ciągu ostatnich 30 dni, które zawierały adres URL lub domenę. Ta karta zawiera wykres trendu i dostosowywalną tabelę zawierającą szczegóły wiadomości e-mail, takie jak temat, nadawca, adresat i inne.

Karta wiadomości e-mail do badania adresu URL/domeny

Kliknięć

Karta Kliknięcia zawiera szczegółowy widok wszystkich kliknięć adresu URL lub domeny obserwowanych w ciągu ostatnich 30 dni.

Badanie adresu URL lub domeny

  1. Wybierz pozycję Adres URL z menu rozwijanego Pasek wyszukiwania .

  2. Wprowadź adres URL w polu Wyszukaj . Alternatywnie możesz przejść do adresu URL lub domeny na karcie Historia ataku incydentu, z osi czasu urządzenia, za pośrednictwem zaawansowanego wyszukiwania zagrożeń lub z panelu i strony po stronie poczty e-mail.

  3. Kliknij ikonę wyszukiwania lub naciśnij klawisz Enter. Zostaną wyświetlone szczegółowe informacje o adresie URL.

    Uwaga

    Wyniki wyszukiwania będą zwracane tylko dla adresów URL obserwowanych w komunikacji z urządzeń w organizacji.

  4. Użyj filtrów wyszukiwania, aby zdefiniować kryteria wyszukiwania. Możesz również użyć pola wyszukiwania osi czasu, aby odfiltrować wyświetlane wyniki wszystkich urządzeń w organizacji, które komunikowały się z adresem URL, plikiem skojarzonym z komunikacją i ostatnią zaobserwowaną datą.

  5. Kliknięcie dowolnej nazwy urządzenia spowoduje wyświetlenie tego urządzenia, w którym będzie można kontynuować badanie zgłoszonych alertów, zachowań i zdarzeń. **

  6. Jeśli nie zgadzasz się z werdyktem adresu URL lub domeny, możesz zgłosić go firmie Microsoft jako czysty, wyłudzający informacje lub złośliwy , wybierając pozycję **Prześlij do firmy Microsoft w celu analizy.

Opcja Prześlij do analizy na stronie adresu URL/domeny

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.