Undersöka domäner och URL:er

Gäller för:

• Microsoft Defender för Endpoint Abonnemang 1
• Microsoft Defender för Endpoint Abonnemang 2
• Microsoft Defender XDR

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Undersök en domän för att se om enheterna och servrarna i företagsnätverket har kommunicerat med en känd skadlig domän.

Du kan undersöka en URL eller domän med hjälp av sökfunktionen, från incidentupplevelsen (på fliken bevis eller från aviseringsartikeln), från avancerad jakt, från e-postsidan och sidopanelen eller genom att klicka på URL:en eller domänlänken från enhetens tidslinje.

Du kan se information från följande avsnitt i URL- och domänvyn:

• Domäninformation, registrantkontaktinformation

• Microsoft-dom

• Incidenter och aviseringar relaterade till den här URL:en eller domänen

• Förekomsten av URL:en eller domänen i organisationen

• De senaste observerade enheterna med URL eller domän

• De senaste e-postmeddelandena som innehåller URL:en eller domänen

• De senaste klicken till URL:en eller domänen

Domänentitet

Du kan pivotleda till domänsidan från domäninformationen på URL-sidan eller sidopanelen. Klicka bara på länken Visa domänsida . Domänentiteten visar en aggregering av alla data från URL:erna med FQDN (fullständigt kvalificerat domännamn). Om till exempel en enhet observeras kommunicera med sub.domain.tld/path1, och en annan enhet observeras kommunicera med sub.domain.tld/path2, visar varje URL för ovanstående en enhetsobservation och domänen visar de två enhetsobservationerna. I det här fallet korrelerar inte en enhet som kommunicerade med othersub.domain.tld/path den här domänsidan, utan till othersub.domain.tld.

Översikt över URL och domän

I avsnittet URL över hela världen visas URL:en, en länk till ytterligare information om whois, antalet relaterade öppna incidenter och antalet aktiva aviseringar, antalet berörda enheter, e-postmeddelanden och antalet observerade användarklick.

Information om URL-sammanfattning

Visar den ursprungliga URL:en (befintlig URL-information) med frågeparametrarna och protokollet på programnivå. Nedan hittar du fullständig domäninformation, till exempel registreringsdatum, ändringsdatum och registrantens kontaktinformation.

Microsofts bedömning av URL:en eller domänen, en enhetsprevalens, e-post och användarens klickavsnitt. I det här området kan du se antalet enheter som kommunicerat med URL:en eller domänen under de senaste 30 dagarna och pivoteras till den första eller sista händelsen på enhetens tidslinje direkt. Undersöka inledande åtkomst eller om det fortfarande finns en skadlig aktivitet i din miljö.

Incidenter och aviseringar

Avsnittet Incident och aviseringar visar ett stapeldiagram över alla aktiva aviseringar i incidenter under de senaste 180 dagarna.

Microsoft-dom

Avsnittet Microsoft-bedömning visar utfallet av URL:en eller domänen från Microsoft TI-biblioteket. Den visar om URL:en eller domänen redan kallas nätfiske eller skadlig entitet.

Prevalensen

Avsnittet Prevalens innehåller information om förekomsten av URL:en inom organisationen under de senaste 30 dagarna, till exempel och trenddiagram – som visar antalet distinkta enheter som kommunicerade med URL:en eller domänen under en viss tidsperiod. Nedan hittar du information om de första och sista enhetsobservationer som kommunicerats med URL:en under de senaste 30 dagarna, där du kan pivotera till enhetens tidslinje direkt, undersöka inledande åtkomst från nätfiskelänken eller om det fortfarande finns en skadlig kommunikation i din miljö.

Incident och aviseringar

Fliken incident och aviseringar innehåller en lista över incidenter som är associerade med URL:en eller domänen. Tabellen som visas här är en filtrerad version av incidenterna som visas på skärmen Incidentkö, som endast visar incidenter som är associerade med URL:en eller domänen, deras allvarlighetsgrad, påverkade tillgångar med mera.

Fliken incidenter och aviseringar kan justeras för att visa mer eller mindre information genom att välja Anpassa kolumner på åtgärdsmenyn ovanför kolumnrubrikerna. Antalet objekt som visas kan också justeras genom att välja objekt per sida på samma meny.

Enheter

Fliken Enheter innehåller en kronologisk vy över alla enheter som har observerats för en specifik URL eller en domän. Den här fliken innehåller ett trenddiagram och en anpassningsbar tabell som visar enhetsinformation, till exempel risknivå, domän med mera. Utöver detta kan du se de första och sista händelsetiderna där enheten interagerade med URL:en eller domänen och åtgärdstypen för den här händelsen. Med hjälp av menyn bredvid enhetsnamnet kan du snabbt pivotleda till enhetens tidslinje för att ytterligare undersöka vad som hände före eller efter händelsen som involverade den här URL:en eller domänen.

Även om standardtiden är de senaste 30 dagarna kan du anpassa den från listrutan som är tillgänglig i hörnet av kortet. Det kortaste tillgängliga intervallet är för prevalens under den senaste dagen, medan det längsta intervallet är under de senaste sex månaderna.

Med hjälp av exportknappen ovanför tabellen kan du exportera alla data till en .csv fil (inklusive den första och sista händelsetiden och åtgärdstypen) för ytterligare undersökning och rapportering.

Email

Fliken E-postmeddelanden innehåller en detaljerad vy över alla e-postmeddelanden som observerats under de senaste 30 dagarna som innehåller URL:en eller domänen. Den här fliken innehåller ett trenddiagram och en anpassningsbar tabell med e-postinformation, till exempel ämne, avsändare, mottagare med mera.

Klick

På fliken Klick visas en detaljerad vy över alla klick till url:en eller domänen som observerats under de senaste 30 dagarna.

Undersöka en URL eller domän

1. Välj URL i den nedrullningsbara Search-menyn.

2. Ange URL:en i fältet Search. Du kan också navigera till URL:en eller domänen från fliken Incidentattack, från enhetens tidslinje, via avancerad jakt eller från panelen och sidan på e-postsidan.

3. Klicka på sökikonen eller tryck på Retur. Information om URL:en visas.

   Obs!

   Search resultat returneras endast för URL:er som observerats i kommunikationen från enheter i organisationen.

4. Använd sökfiltren för att definiera sökvillkoren. Du kan också använda sökrutan för tidslinjen för att filtrera de visade resultaten för alla enheter i organisationen som observerats kommunicera med URL:en, filen som är associerad med kommunikationen och det senaste datum som observerats.

5. Om du klickar på något av enhetsnamnen kommer du till enhetens vy, där du kan fortsätta att undersöka rapporterade aviseringar, beteenden och händelser. **

6. Om du inte håller med om utfallet av en URL eller domän kan du rapportera den till Microsoft som ren, nätfiske eller skadlig genom att välja **Skicka till Microsoft för analys.

Relaterade artiklar

• Visa och organisera kön för Microsoft Defender för Endpoint-aviseringar
• Hantera Microsoft Defender för Endpoint aviseringar
• Undersöka Microsoft Defender för Endpoint aviseringar
• Undersöka en fil som är associerad med en Microsoft Defender för Endpoint avisering
• Undersöka enheter i listan Microsoft Defender för Endpoint enheter
• Undersöka en IP-adress som är associerad med en Microsoft Defender för Endpoint avisering
• Undersöka ett användarkonto i Microsoft Defender för Endpoint

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.