調查網域和 URL
適用於:
想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。
調查網域,以查看您企業網路中的裝置和伺服器是否已與已知的惡意網域通訊。
您可以使用搜尋功能、辨識項索引標籤中的事件體驗 (、警示案例) 、進階搜捕、電子郵件頁面和側邊面板,或按兩下 [裝置時間軸] 中的 URL 或網域連結,來調查 URL 或網域。
您可以在網址檢視中檢視的資訊:
網域詳細數據、註冊聯繫人資訊
Microsoft 決策
與此 URL 或網域相關的事件和警示
組織中 URL 或網域的普遍性
最近觀察到的具有URL或網域的裝置
包含 URL 或網域的最新電子郵件
最近按兩下網址或網域
網域實體
您可以從 URL 頁面或側邊面板中的網域詳細數據樞紐至網域頁面,只要按兩下 [ 檢視網域頁面 ] 連結即可。 網域實體會顯示 URL 中所有數據的匯總,其中包含 FQDN (完整功能變數名稱) 。 例如,如果觀察到一個裝置與 sub.domain.tld/path1通訊,而且觀察到另一個裝置與 sub.domain.tld/path2通訊,則上述的每個 URL 都會顯示一個裝置觀察,而網域會顯示兩個裝置觀察。 在此情況下,與 othersub.domain.tld/path 通訊的裝置不會與此網域頁面相互關聯,而是與 othersub.domain.tld相互關聯。
URL 和網域概觀
[URL 全球] 區段會列出 URL、進一步詳細數據的連結、相關開啟事件的數目,以及作用中警示的數目、受影響的裝置數目、電子郵件,以及觀察到的使用者點按次數。
URL 摘要詳細數據
使用查詢參數和應用層級通訊協議,顯示) 現有URL資訊 (原始URL。 您可以在下面找到完整的網域詳細數據,例如註冊日期、修改日期和註冊聯繫人資訊。
Microsoft 對 URL 或網域、裝置普遍性、電子郵件和使用者點按區段的決策。 在此區域中,您可以查看過去 30 天內與 URL 或網域通訊的裝置數目,並立即樞紐至裝置時間軸中的第一個或最後一個事件。 若要調查初始存取,或您的環境中仍有惡意活動。
事件和警示
[事件和警示] 區段會顯示過去 180 天內事件中所有作用中警示的條形圖。
Microsoft 決策
Microsoft 決策區段會顯示來自 Microsoft TI 連結庫的 URL 或網域決策。 它會顯示 URL 或網域是否已稱為網路釣魚或惡意實體。
流行
[普遍性] 區段提供過去 30 天內組織內 URL 普遍性程度的詳細數據,例如 和 趨勢圖 ,其中顯示在特定期間內與 URL 或網域通訊的不同裝置數目。 您可以在下方找到過去 30 天內與 URL 通訊的第一個和最後一個裝置觀察的詳細數據,您可以在其中立即樞紐處理至裝置時間軸、調查網路釣魚連結的初始存取,或您的環境中仍有惡意通訊。
事件和警示
![[事件和警示] 索引標籤會提供與網址或網域相關聯的事件清單。](media/domain-incidents.png)
[事件和警示] 索引標籤會提供與網址或網域相關聯的事件清單。 此處顯示的數據表是事件佇列畫面上可見的事件篩選版本,只顯示與 URL 或網域相關聯的事件、其嚴重性、受影響的資產等等。
您可以從數據行標頭上方的動作功能表中選取 [ 自定義 數據行],以調整事件和警示索引標籤以顯示更多或更少的資訊。 您也可以在相同功能表上選取每個頁面的專案,以調整顯示的項目數目。
裝置
![[裝置] 索引標籤會顯示在一段特定時間內與 URL 或網域通訊的不同裝置數目。](media/domain-device-overview.png)
[裝置] 索引標籤提供針對特定 URL 或網域觀察到之所有裝置的時間順序檢視。 此索引標籤包含趨勢圖和可自定義的數據表,其中列出裝置詳細數據,例如風險層級、網域等等。 除此之外,您還可以看到裝置與 URL 或網域互動的第一個和最後一個事件時間,以及此事件的動作類型。 使用裝置名稱旁邊的功能表,您可以快速地樞紐至裝置時間軸,以進一步調查涉及此 URL 或網域之事件之前或之後所發生的事件。
雖然默認時間週期是過去 30 天,但您可以從卡片角落的下拉式清單中自定義。 可用的最短範圍是過去一天的普遍性,而最長範圍則是過去六個月。
使用資料表上方的 [匯出] 按鈕,您可以將所有數據匯出至 .csv 檔案 (包括第一個和最後一個事件時間和動作類型) ,以供進一步調查和報告。
電子郵件
[電子郵件] 索引標籤提供過去 30 天內觀察到包含 URL 或網域之所有電子郵件的詳細檢視。 此索引標籤包含趨勢圖和可自定義的數據表,其中列出電子郵件詳細數據,例如主旨、寄件者、收件者等等。
點擊
[點選] 索引標籤提供過去 30 天內觀察到之 URL 或網域的所有點選詳細檢視。
調查 URL 或網域
從 搜尋 列下拉功能表中選取 [URL]。
在 [搜尋] 欄位中輸入 URL。 或者,您可以從 [ 事件攻擊劇本] 索引標籤、從 裝置時間軸、透過 進階搜捕,或從 電子郵件端面板和頁面流覽至 URL 或網域。
按一下搜尋圖示或按 Enter。 URL 的詳細數據隨即顯示。
注意事項
搜尋 結果只會針對組織中裝置通訊中觀察到的 URL 傳回。
使用搜尋篩選來定義搜尋準則。 您也可以使用時程表搜尋方塊來篩選組織中觀察到與 URL 通訊之所有裝置的顯示結果、與通訊相關聯的檔案,以及觀察到的最後一個日期。
單擊任何裝置名稱會帶您前往該裝置的檢視,您可以在其中繼續調查報告的警示、行為和事件。 **
如果您對 URL 或網域的決策意見不一,您可以選取 [提交給 Microsoft 進行分析],將它回報為 乾淨、 網路釣魚或 惡意 。
相關文章
- 檢視及組織適用於端點的 Microsoft Defender 警示佇列
- 管理 適用於端點的 Microsoft Defender 警示
- 調查 適用於端點的 Microsoft Defender 警示
- 調查與 適用於端點的 Microsoft Defender 警示相關聯的檔案
- 調查 [適用於端點的 Microsoft Defender 裝置] 清單中的裝置
- 調查與 適用於端點的 Microsoft Defender警示相關聯的IP位址
- 調查 適用於端點的 Microsoft Defender中的用戶帳戶
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。