調查網域和 URL

  • 發行項

適用於:

想要體驗適用於端點的 Microsoft Defender 嗎? 注册免費試用版。

調查網域,以查看您企業網路中的裝置和伺服器是否已與已知的惡意網域通訊。

您可以使用搜尋功能、辨識項索引標籤中的事件體驗 (、警示案例) 、進階搜捕、電子郵件頁面和側邊面板,或按兩下 [裝置時間軸] 中的 URL 或網域連結,來調查 URL 或網域。

您可以在網址檢視中檢視的資訊:

  • 網域詳細數據、註冊聯繫人資訊

  • Microsoft 決策

  • 與此 URL 或網域相關的事件和警示

  • 組織中 URL 或網域的普遍性

  • 最近觀察到的具有URL或網域的裝置

  • 包含 URL 或網域的最新電子郵件

  • 最近按兩下網址或網域

主要 URL/網域頁面

網域實體

您可以從 URL 頁面或側邊面板中的網域詳細數據樞紐至網域頁面,只要按兩下 [ 檢視網域頁面 ] 連結即可。 網域實體會顯示 URL 中所有數據的匯總,其中包含 FQDN (完整功能變數名稱) 。 例如,如果觀察到一個裝置與 sub.domain.tld/path1通訊,而且觀察到另一個裝置與 sub.domain.tld/path2通訊,則上述的每個 URL 都會顯示一個裝置觀察,而網域會顯示兩個裝置觀察。 在此情況下,與 othersub.domain.tld/path 通訊的裝置不會與此網域頁面相互關聯,而是與 othersub.domain.tld相互關聯。

URL 和網域概觀

[URL 全球] 區段會列出 URL、進一步詳細數據的連結、相關開啟事件的數目,以及作用中警示的數目、受影響的裝置數目、電子郵件,以及觀察到的使用者點按次數。

URL 摘要詳細數據

使用查詢參數和應用層級通訊協議,顯示) 現有URL資訊 (原始URL。 您可以在下面找到完整的網域詳細數據,例如註冊日期、修改日期和註冊聯繫人資訊。

Microsoft 對 URL 或網域、裝置普遍性、電子郵件和使用者點按區段的決策。 在此區域中,您可以查看過去 30 天內與 URL 或網域通訊的裝置數目,並立即樞紐至裝置時間軸中的第一個或最後一個事件。 若要調查初始存取,或您的環境中仍有惡意活動。

事件和警示

[事件和警示] 區段會顯示過去 180 天內事件中所有作用中警示的條形圖。

Microsoft 決策

Microsoft 決策區段會顯示來自 Microsoft TI 連結庫的 URL 或網域決策。 它會顯示 URL 或網域是否已稱為網路釣魚或惡意實體。

流行

[普遍性] 區段提供過去 30 天內組織內 URL 普遍性程度的詳細數據,例如 和 趨勢圖 ,其中顯示在特定期間內與 URL 或網域通訊的不同裝置數目。 您可以在下方找到過去 30 天內與 URL 通訊的第一個和最後一個裝置觀察的詳細數據,您可以在其中立即樞紐處理至裝置時間軸、調查網路釣魚連結的初始存取,或您的環境中仍有惡意通訊。

事件和警示

[事件和警示] 索引標籤會提供與網址或網域相關聯的事件清單。

[事件和警示] 索引標籤會提供與網址或網域相關聯的事件清單。 此處顯示的數據表是事件佇列畫面上可見的事件篩選版本,只顯示與 URL 或網域相關聯的事件、其嚴重性、受影響的資產等等。

您可以從數據行標頭上方的動作功能表中選取 [ 自定義 數據行],以調整事件和警示索引標籤以顯示更多或更少的資訊。 您也可以在相同功能表上選取每個頁面的專案,以調整顯示的項目數目。

裝置

[裝置] 索引標籤會顯示在一段特定時間內與 URL 或網域通訊的不同裝置數目。

[裝置] 索引標籤提供針對特定 URL 或網域觀察到之所有裝置的時間順序檢視。 此索引標籤包含趨勢圖和可自定義的數據表,其中列出裝置詳細數據,例如風險層級、網域等等。 除此之外,您還可以看到裝置與 URL 或網域互動的第一個和最後一個事件時間,以及此事件的動作類型。 使用裝置名稱旁邊的功能表,您可以快速地樞紐至裝置時間軸,以進一步調查涉及此 URL 或網域之事件之前或之後所發生的事件。

雖然默認時間週期是過去 30 天,但您可以從卡片角落的下拉式清單中自定義。 可用的最短範圍是過去一天的普遍性,而最長範圍則是過去六個月。

使用資料表上方的 [匯出] 按鈕,您可以將所有數據匯出至 .csv 檔案 (包括第一個和最後一個事件時間和動作類型) ,以供進一步調查和報告。

電子郵件

[電子郵件] 索引標籤提供過去 30 天內觀察到包含 URL 或網域之所有電子郵件的詳細檢視。 此索引標籤包含趨勢圖和可自定義的數據表,其中列出電子郵件詳細數據,例如主旨、寄件者、收件者等等。

用於調查網址的電子郵件索引標籤

點擊

[點選] 索引標籤提供過去 30 天內觀察到之 URL 或網域的所有點選詳細檢視。

調查 URL 或網域

  1. 搜尋 列下拉功能表中選取 [URL]。

  2. 在 [搜尋] 欄位中輸入 URL。 或者,您可以從 [ 事件攻擊劇本] 索引標籤、從 裝置時間軸、透過 進階搜捕,或從 電子郵件端面板和頁面流覽至 URL 或網域。

  3. 按一下搜尋圖示或按 Enter。 URL 的詳細數據隨即顯示。

    注意事項

    搜尋 結果只會針對組織中裝置通訊中觀察到的 URL 傳回。

  4. 使用搜尋篩選來定義搜尋準則。 您也可以使用時程表搜尋方塊來篩選組織中觀察到與 URL 通訊之所有裝置的顯示結果、與通訊相關聯的檔案,以及觀察到的最後一個日期。

  5. 單擊任何裝置名稱會帶您前往該裝置的檢視,您可以在其中繼續調查報告的警示、行為和事件。 **

  6. 如果您對 URL 或網域的決策意見不一,您可以選取 [提交給 Microsoft 進行分析],將它回報為 乾淨網路釣魚惡意

在 URL/網域頁面中提交進行分析選項

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:適用於端點的 Microsoft Defender 技術社群。