Investigar domínios e URLs

Aplica-se a:

• API do Microsoft Defender para Endpoint 1
• Microsoft Defender para Endpoint Plano 2
• Microsoft Defender XDR

Quer experimentar o Defender para Ponto Final? Inscrever-se para uma avaliação gratuita.

Investigue um domínio para ver se os dispositivos e servidores na sua rede empresarial têm estado a comunicar com um domínio malicioso conhecido.

Pode investigar um URL ou domínio através da funcionalidade de pesquisa, da experiência de incidente (no separador de provas ou a partir da história do alerta), da investigação avançada, da página de e-mail e do painel lateral ou ao clicar na ligação URL ou domínio a partir da Linha cronológica do dispositivo.

Pode ver informações das seguintes secções na vista de URL e domínio:

• Detalhes do domínio, informações de contacto do registo

• Veredicto da Microsoft

• Incidentes e alertas relacionados com este URL ou domínio

• Prevalência do URL ou domínio na organização

• Dispositivos observados mais recentemente com URL ou domínio

• E-mails mais recentes com o URL ou domínio

• Os cliques mais recentes no URL ou domínio

Entidade de domínio

Pode deslocar-se para a página de domínio a partir dos detalhes do domínio na página do URL ou no painel lateral, basta clicar na ligação Ver página de domínio . A entidade de domínio mostra uma agregação de todos os dados dos URLs com o FQDN (Nome de domínio completamente qualificado). Por exemplo, se um dispositivo for observado a comunicar com sub.domain.tld/path1e outro dispositivo for observado a comunicar com sub.domain.tld/path2, cada URL do acima mostrará uma observação do dispositivo e o domínio mostrará as duas observações do dispositivo. Neste caso, um dispositivo com o qual comunicava não se correlaciona com othersub.domain.tld/path esta página de domínio, mas sim othersub.domain.tldcom .

Descrição geral do URL e domínio

A secção URL em todo o mundo lista o URL, uma ligação para mais detalhes na whois, o número de incidentes abertos relacionados e o número de alertas ativos, o número de dispositivos afetados, e-mails e o número de cliques de utilizador observados.

Detalhes do resumo do URL

Apresenta o URL original (informações de URL existentes), com os parâmetros de consulta e o protocolo ao nível da aplicação. Abaixo, pode encontrar todos os detalhes do domínio, como a data de registo, a data de modificação e as informações de contacto do registo.

Veredicto da Microsoft sobre o URL ou domínio, uma secção de prevalência de dispositivos, e-mails e cliques do utilizador. Nesta área, pode ver o número de dispositivos que comunicaram com o URL ou domínio nos últimos 30 dias e deslocar-se imediatamente para o primeiro ou último evento na linha cronológica do dispositivo. Para investigar o acesso inicial ou se ainda existe uma atividade maliciosa no seu ambiente.

Incidentes e alertas

A secção Incidentes e alertas apresenta um gráfico de barras de todos os alertas ativos em incidentes nos últimos 180 dias.

Veredicto da Microsoft

A secção de veredicto da Microsoft apresenta o veredicto do URL ou domínio da biblioteca microsoft TI. Mostra se o URL ou domínio já é conhecido como phishing ou entidade maliciosa.

Prevalência

A secção Prevalência fornece os detalhes sobre a prevalência do URL na organização, ao longo dos últimos 30 dias, como o gráfico de tendências , que mostra o número de dispositivos distintos que comunicaram com o URL ou domínio durante um determinado período de tempo. Abaixo, pode encontrar detalhes das observações do primeiro e último dispositivo comunicadas com o URL nos últimos 30 dias, onde pode avançar imediatamente para a linha cronológica do dispositivo, investigar o acesso inicial a partir da ligação phish ou se ainda existir uma comunicação maliciosa no seu ambiente.

Incidentes e alertas

O separador incidente e alertas fornece uma lista de incidentes associados ao URL ou domínio. A tabela aqui apresentada é uma versão filtrada dos incidentes visíveis no ecrã Fila de incidentes, que mostra apenas incidentes associados ao URL ou domínio, a sua gravidade, recursos afetados e muito mais.

O separador incidentes e alertas pode ser ajustado para mostrar mais ou menos informações ao selecionar Personalizar colunas no menu de ação acima dos cabeçalhos de coluna. O número de itens apresentados também pode ser ajustado ao selecionar itens por página no mesmo menu.

Dispositivos

O separador Dispositivos fornece uma vista cronológica de todos os dispositivos que foram observados para um URL específico ou um domínio. Este separador inclui um gráfico de tendências e uma tabela personalizável que lista os detalhes do dispositivo, como o nível de risco, domínio e muito mais. Além disso, pode ver as primeiras e últimas horas de evento em que o dispositivo interagiu com o URL ou domínio e o tipo de ação deste evento. Ao utilizar o menu junto ao nome do dispositivo, pode avançar rapidamente para a linha cronológica do dispositivo para investigar melhor o que aconteceu antes ou depois do evento que envolveu este URL ou domínio.

Embora o período de tempo predefinido seja dos últimos 30 dias, pode personalizá-lo a partir do menu pendente disponível no canto do cartão. O intervalo mais curto disponível é para prevalência ao longo do último dia, enquanto o intervalo mais longo é ao longo dos últimos seis meses.

Com o botão exportar acima da tabela, pode exportar todos os dados para um ficheiro de .csv (incluindo a hora do primeiro e último evento e o tipo de ação), para uma investigação e relatórios mais aprofundados.

E-mails

O separador E-mails fornece uma vista detalhada de todos os e-mails observados nos últimos 30 dias que continham o URL ou domínio. Este separador inclui um gráfico de tendências e uma tabela personalizável com detalhes de e-mail, como assunto, remetente, destinatário e muito mais.

Cliques

O separador Cliques fornece uma vista detalhada de todos os cliques no URL ou domínio observado nos últimos 30 dias.

Investigar um URL ou domínio

1. Selecione URL no menu pendente da barra de Pesquisa.

2. Introduza o URL no campo Pesquisa. Em alternativa, pode navegar para o URL ou domínio a partir do separador História de ataque de incidentes, a partir da linha cronológica do dispositivo, através de investigação avançada ou a partir do painel e página do lado do e-mail.

3. Clique no ícone de pesquisa ou prima Enter. São apresentados detalhes sobre o URL.

   Nota

   Pesquisa resultados só serão devolvidos para URLs observados em comunicações de dispositivos na organização.

4. Utilize os filtros de pesquisa para definir os critérios de pesquisa. Também pode utilizar a caixa de pesquisa da linha cronológica para filtrar os resultados apresentados de todos os dispositivos na organização observados a comunicar com o URL, o ficheiro associado à comunicação e a última data observada.

5. Clicar em qualquer um dos nomes de dispositivo irá levá-lo para a vista desse dispositivo, onde pode continuar a investigar alertas, comportamentos e eventos comunicados. **

6. Se não concordar com o veredicto de um URL ou domínio, pode denunciá-lo à Microsoft como limpo, phishing ou malicioso ao selecionar **Submeter à Microsoft para análise.

Artigos relacionados

• Ver e organizar a fila de Alertas do Microsoft Defender para Endpoint
• Gerir alertas de Microsoft Defender para Endpoint
• Investigar alertas de Microsoft Defender para Endpoint
• Investigar um ficheiro associado a um alerta de Microsoft Defender para Endpoint
• Investigar dispositivos na lista de Dispositivos do Microsoft Defender para Endpoint
• Investigar um endereço IP associado a um alerta de Microsoft Defender para Endpoint
• Investigar uma conta de utilizador no Microsoft Defender para Endpoint

Sugestão

Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.