Undersöka domäner och URL:er
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Undersök en domän för att se om enheterna och servrarna i företagsnätverket har kommunicerat med en känd skadlig domän.
Du kan undersöka en URL eller domän med hjälp av sökfunktionen, från incidentupplevelsen (på fliken bevis eller från aviseringsartikeln), från avancerad jakt, från e-postsidan och sidopanelen eller genom att klicka på URL:en eller domänlänken från enhetens tidslinje.
Du kan se information från följande avsnitt i URL- och domänvyn:
Domäninformation, registrantkontaktinformation
Microsoft-dom
Incidenter och aviseringar relaterade till den här URL:en eller domänen
Förekomsten av URL:en eller domänen i organisationen
De senaste observerade enheterna med URL eller domän
De senaste e-postmeddelandena som innehåller URL:en eller domänen
De senaste klicken till URL:en eller domänen
Domänentitet
Du kan pivotleda till domänsidan från domäninformationen på URL-sidan eller sidopanelen. Klicka bara på länken Visa domänsida . Domänentiteten visar en aggregering av alla data från URL:erna med FQDN (fullständigt kvalificerat domännamn). Om till exempel en enhet observeras kommunicera med sub.domain.tld/path1, och en annan enhet observeras kommunicera med sub.domain.tld/path2, visar varje URL för ovanstående en enhetsobservation och domänen visar de två enhetsobservationerna. I det här fallet korrelerar inte en enhet som kommunicerade med othersub.domain.tld/path den här domänsidan, utan till othersub.domain.tld.
Översikt över URL och domän
I avsnittet URL över hela världen visas URL:en, en länk till ytterligare information om whois, antalet relaterade öppna incidenter och antalet aktiva aviseringar, antalet berörda enheter, e-postmeddelanden och antalet observerade användarklick.
Information om URL-sammanfattning
Visar den ursprungliga URL:en (befintlig URL-information) med frågeparametrarna och protokollet på programnivå. Nedan hittar du fullständig domäninformation, till exempel registreringsdatum, ändringsdatum och registrantens kontaktinformation.
Microsofts bedömning av URL:en eller domänen, en enhetsprevalens, e-post och användarens klickavsnitt. I det här området kan du se antalet enheter som kommunicerat med URL:en eller domänen under de senaste 30 dagarna och pivoteras till den första eller sista händelsen på enhetens tidslinje direkt. Undersöka inledande åtkomst eller om det fortfarande finns en skadlig aktivitet i din miljö.
Incidenter och aviseringar
Avsnittet Incident och aviseringar visar ett stapeldiagram över alla aktiva aviseringar i incidenter under de senaste 180 dagarna.
Microsoft-dom
Avsnittet Microsoft-bedömning visar utfallet av URL:en eller domänen från Microsoft TI-biblioteket. Den visar om URL:en eller domänen redan kallas nätfiske eller skadlig entitet.
Prevalensen
Avsnittet Prevalens innehåller information om förekomsten av URL:en inom organisationen under de senaste 30 dagarna, till exempel och trenddiagram – som visar antalet distinkta enheter som kommunicerade med URL:en eller domänen under en viss tidsperiod. Nedan hittar du information om de första och sista enhetsobservationer som kommunicerats med URL:en under de senaste 30 dagarna, där du kan pivotera till enhetens tidslinje direkt, undersöka inledande åtkomst från nätfiskelänken eller om det fortfarande finns en skadlig kommunikation i din miljö.
Incident och aviseringar
Fliken incident och aviseringar innehåller en lista över incidenter som är associerade med URL:en eller domänen. Tabellen som visas här är en filtrerad version av incidenterna som visas på skärmen Incidentkö, som endast visar incidenter som är associerade med URL:en eller domänen, deras allvarlighetsgrad, påverkade tillgångar med mera.
Fliken incidenter och aviseringar kan justeras för att visa mer eller mindre information genom att välja Anpassa kolumner på åtgärdsmenyn ovanför kolumnrubrikerna. Antalet objekt som visas kan också justeras genom att välja objekt per sida på samma meny.
Enheter
Fliken Enheter innehåller en kronologisk vy över alla enheter som har observerats för en specifik URL eller en domän. Den här fliken innehåller ett trenddiagram och en anpassningsbar tabell som visar enhetsinformation, till exempel risknivå, domän med mera. Utöver detta kan du se de första och sista händelsetiderna där enheten interagerade med URL:en eller domänen och åtgärdstypen för den här händelsen. Med hjälp av menyn bredvid enhetsnamnet kan du snabbt pivotleda till enhetens tidslinje för att ytterligare undersöka vad som hände före eller efter händelsen som involverade den här URL:en eller domänen.
Även om standardtiden är de senaste 30 dagarna kan du anpassa den från listrutan som är tillgänglig i hörnet av kortet. Det kortaste tillgängliga intervallet är för prevalens under den senaste dagen, medan det längsta intervallet är under de senaste sex månaderna.
Med hjälp av exportknappen ovanför tabellen kan du exportera alla data till en .csv fil (inklusive den första och sista händelsetiden och åtgärdstypen) för ytterligare undersökning och rapportering.
Fliken E-postmeddelanden innehåller en detaljerad vy över alla e-postmeddelanden som observerats under de senaste 30 dagarna som innehåller URL:en eller domänen. Den här fliken innehåller ett trenddiagram och en anpassningsbar tabell med e-postinformation, till exempel ämne, avsändare, mottagare med mera.
Klick
På fliken Klick visas en detaljerad vy över alla klick till url:en eller domänen som observerats under de senaste 30 dagarna.
Undersöka en URL eller domän
Välj URL i den nedrullningsbara Search-menyn.
Ange URL:en i fältet Search. Du kan också navigera till URL:en eller domänen från fliken Incidentattack, från enhetens tidslinje, via avancerad jakt eller från panelen och sidan på e-postsidan.
Klicka på sökikonen eller tryck på Retur. Information om URL:en visas.
Obs!
Search resultat returneras endast för URL:er som observerats i kommunikationen från enheter i organisationen.
Använd sökfiltren för att definiera sökvillkoren. Du kan också använda sökrutan för tidslinjen för att filtrera de visade resultaten för alla enheter i organisationen som observerats kommunicera med URL:en, filen som är associerad med kommunikationen och det senaste datum som observerats.
Om du klickar på något av enhetsnamnen kommer du till enhetens vy, där du kan fortsätta att undersöka rapporterade aviseringar, beteenden och händelser. **
Om du inte håller med om utfallet av en URL eller domän kan du rapportera den till Microsoft som ren, nätfiske eller skadlig genom att välja **Skicka till Microsoft för analys.
Relaterade artiklar
- Visa och organisera kön för Microsoft Defender för Endpoint-aviseringar
- Hantera Microsoft Defender för Endpoint aviseringar
- Undersöka Microsoft Defender för Endpoint aviseringar
- Undersöka en fil som är associerad med en Microsoft Defender för Endpoint avisering
- Undersöka enheter i listan Microsoft Defender för Endpoint enheter
- Undersöka en IP-adress som är associerad med en Microsoft Defender för Endpoint avisering
- Undersöka ett användarkonto i Microsoft Defender för Endpoint
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för