Изучение доменов и URL-адресов

Область применения:

• Microsoft Defender для конечной точки (план 1)
• Microsoft Defender для конечной точки (план 2)
• Microsoft Defender XDR

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Изучите домен, чтобы узнать, взаимодействовали ли устройства и серверы в корпоративной сети с известным вредоносным доменом.

Вы можете исследовать URL-адрес или домен с помощью функции поиска, из интерфейса инцидента (на вкладке "Доказательства" или из истории оповещений), из расширенной охоты, на странице электронной почты и боковой панели, а также щелкнув URL-адрес или ссылку на домен в временная шкала устройства.

В представлении URL-адреса и домена можно просмотреть сведения из следующих разделов:

• Сведения о домене, контактные данные регистранта

• Вердикт Майкрософт

• Инциденты и оповещения, связанные с этим URL-адресом или доменом

• Распространенность URL-адреса или домена в организации

• Последние обнаруженные устройства с URL-адресом или доменом

• Последние сообщения электронной почты, содержащие URL-адрес или домен

• Последние щелчки URL-адреса или домена

Сущность домена

Вы можете перейти на страницу домена из сведений о домене на странице URL-адреса или боковой панели, просто щелкните ссылку Просмотр страницы домена . Сущность домена отображает агрегирование всех данных из URL-адресов с полным доменным именем (полное доменное имя). Например, если одно устройство взаимодействует с sub.domain.tld/path1, а другое устройство взаимодействует с sub.domain.tld/path2, на каждом URL-адресе выше будет отображаться одно наблюдение за устройством, а в домене — два наблюдения за устройством. В этом случае устройство, которое взаимодействовало с, будет коррелировать не с othersub.domain.tld/path этой страницей домена, а с othersub.domain.tld.

Общие сведения о URL-адресе и домене

В разделе URL-адреса во всем мире перечислены URL-адрес, ссылка на дополнительные сведения по адресу whois, количество связанных открытых инцидентов и количество активных оповещений, количество затронутых устройств, электронных писем и количество наблюдаемых щелчков пользователей.

Сведения о сводных url-адресах

Отображает исходный URL-адрес (сведения о существующем URL-адресе) с параметрами запроса и протоколом на уровне приложения. Ниже приведены полные сведения о домене, такие как дата регистрации, дата изменения и контактные данные регистранта.

Решение Майкрософт о URL-адресе или домене, распространенности устройств, электронной почте и разделе щелчков пользователей. В этой области можно увидеть количество устройств, которые обменялись с URL-адресом или доменом за последние 30 дней, и сразу же совести к первому или последнему событию в временная шкала устройства. Чтобы изучить первоначальный доступ или наличие вредоносных действий в вашей среде.

Инциденты и оповещения

В разделе Инциденты и оповещения отображается линейчатая диаграмма всех активных оповещений в инцидентах за последние 180 дней.

Вердикт Майкрософт

В разделе Вердикт Майкрософт отображается вердикт URL-адреса или домена из библиотеки Microsoft TI. Он показывает, является ли URL-адрес или домен уже фишинговым или вредоносным объектом.

Распространенность

В разделе "Распространенность" приведены сведения о распространенности URL-адреса в организации за последние 30 дней, диаграмма трендов, на которой показано количество отдельных устройств, которые обменялись данными с URL-адресом или доменом за определенный период времени. Ниже приведены сведения о первых и последних наблюдениях за устройством, передаваемых с ПОМОЩЬЮ URL-адреса за последние 30 дней, где можно сразу же перейти к временная шкала устройства, чтобы изучить первоначальный доступ по фишинговой ссылке или при наличии вредоносных сообщений в вашей среде.

Инциденты и оповещения

На вкладке инцидентов и оповещений представлен список инцидентов, связанных с URL-адресом или доменом. Показанная здесь таблица представляет собой отфильтрованную версию инцидентов, видимую на экране очереди инцидентов, в которой показаны только инциденты, связанные с URL-адресом или доменом, их серьезность, затронутые ресурсы и многое другое.

Вкладку инцидентов и оповещений можно настроить для отображения большей или меньшей информации, выбрав Настроить столбцы в меню действий над заголовками столбцов. Количество отображаемых элементов также можно изменить, выбрав элементы для каждой страницы в том же меню.

Устройства

На вкладке Устройства представлено хронологическое представление всех устройств, которые были обнаружены для определенного URL-адреса или домена. Эта вкладка содержит диаграмму трендов и настраиваемую таблицу со сведениями об устройстве, такими как уровень риска, домен и многое другое. Кроме того, вы можете увидеть время первого и последнего события, когда устройство взаимодействовал с URL-адресом или доменом, а также тип действия этого события. С помощью меню рядом с именем устройства можно быстро выполнить сводку к временная шкала устройства для дальнейшего изучения того, что произошло до или после события, связанного с этим URL-адресом или доменом.

Хотя период времени по умолчанию — последние 30 дней, его можно настроить в раскрывающемся списке, доступном в углу карта. Самый короткий доступный диапазон для распространенности за последний день, в то время как самый длинный диапазон за последние шесть месяцев.

С помощью кнопки экспорта над таблицей можно экспортировать все данные в файл .csv (включая время первого и последнего события и тип действия) для дальнейшего изучения и создания отчетов.

Сообщения электронной почты

На вкладке Электронная почта представлено подробное представление всех сообщений электронной почты, зарегистрированных за последние 30 дней, содержащих URL-адрес или домен. Эта вкладка содержит диаграмму трендов и настраиваемую таблицу со сведениями об электронной почте, такими как тема, отправитель, получатель и многое другое.

Кликов

Вкладка Clicks содержит подробное представление всех переходов по URL-адресу или домену за последние 30 дней.

Изучение URL-адреса или домена

1. Выберите URL-адрес в раскрывающемся меню Поиск панели.

2. Введите URL-адрес в поле Поиск. Кроме того, вы можете перейти к URL-адресу или домену на вкладке Сведения об атаках наинциденте, с временная шкала устройства, с помощью расширенной охоты или с боковой панели и страницы электронной почты.

3. Щелкните значок поиска или нажмите клавишу ВВОД. Отобразятся сведения о URL-адресе.

   Примечание.

   Поиск результаты будут возвращены только для URL-адресов, наблюдаемых при обмене данными с устройств в организации.

4. Используйте фильтры поиска для определения условий поиска. Вы также можете использовать поле поиска временная шкала для фильтрации отображаемых результатов всех устройств в организации, взаимодействующих с URL-адресом, файлом, связанным с обменом данными, и последней наблюдаемой датой.

5. Щелкнув любое из имен устройств, вы перейдете в представление этого устройства, где можно продолжить изучение сообщаемых оповещений, поведения и событий. **

6. Если вы не согласны с вердиктом URL-адреса или домена, вы можете сообщить об этом корпорации Майкрософт как о чистом, фишинговом или вредоносном , выбрав **Отправить в Корпорацию Майкрософт для анализа.

Связанные статьи

• Просмотр и упорядочивание очереди оповещений Microsoft Defender для конечной точки
• Управление оповещениями Microsoft Defender для конечной точки
• Изучение оповещений Microsoft Defender для конечной точки
• Изучение файла, связанного с оповещением Microsoft Defender для конечной точки
• Изучение устройств в списке устройств Microsoft Defender для конечной точки
• Изучение IP-адреса, связанного с оповещением Microsoft Defender для конечной точки
• Изучение учетной записи пользователя в Microsoft Defender для конечной точки

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.