調查網域,查看企業網路中的裝置和伺服器是否已與已知的惡意網域通訊。
您可以使用搜尋功能、從 [證據] 索引標籤中的事件體驗 (,或從警示劇本) 、進階搜捕、電子郵件頁面和側邊面板,或按兩下 [ 裝置] 時程表中的 URL 或網域連結來調查 URL 或網域。
您可以在 URL 和網域檢視中查看下列區段的資訊:
網域詳細資料、註冊人聯絡資訊
Microsoft 判決
與此 URL 或網域相關的事件和警示
組織中 URL 或網域的普遍性
最近觀察到的裝置具有 URL 或網域
包含 URL 或網域的最新電子郵件
最近一次點擊網址或網域的次數
網域實體
您可以從 URL 頁面或側邊面板中的網域詳細資訊轉向網域頁面,只需按一下「 查看網域頁面 連結即可」。 網域實體會顯示 URL 中所有資料的彙總,其中包含 FQDN (完整網域名稱) 。 例如,如果觀察到一台裝置與 sub.domain.tld/path1通訊,而觀察到另一台裝置與 sub.domain.tld/path2通訊,上述每個 URL 都會顯示一個裝置觀察,而網域將顯示兩個裝置觀察。 在此情況下,與 othersub.domain.tld/path 之通訊的裝置不會與此網域頁面相關聯,而是與 othersub.domain.tld相關聯。
URL 和網域概觀
「全球 URL」區段會列出 URL、whois 上進一步詳細資料的連結、相關開啟事件數目、作用中警示數目、受影響裝置數目、電子郵件數目,以及觀察到的使用者點按次數。
URL 摘要詳細資料
顯示原始 URL (現有 URL 資訊) ,以及查詢參數和應用程式層級通訊協定。 您可以在下方找到完整的網域詳細信息,例如註冊日期、修改日期和註冊人聯絡資訊。
Microsoft 對 URL 或網域的判定、裝置普及率、電子郵件和使用者點擊部分。 在此區域中,您可以查看過去 30 天內與 URL 或網域通訊的裝置數量,並立即轉向裝置時間軸中的第一個或最後一個事件。 調查初始存取,或您的環境中是否仍有惡意活動。
事件和警示
[事件和警示] 區段會顯示過去 180 天內事件中所有作用中警示的長條圖。
Microsoft 判決
Microsoft 判定區段會顯示 Microsoft TI 程式庫中 URL 或網域的判定。 它會顯示 URL 或網域是否已稱為網路釣魚或惡意實體。
盛行率
[ 流行度 ] 區段提供過去 30 天內組織內 URL 流行度的詳細資料,例如趨勢圖表,其中顯示在特定時段內與 URL 或網域通訊的不同裝置數目。 您可以在下方找到過去 30 天內與 URL 通訊的第一個和最後一個裝置觀察的詳細數據,您可以立即轉向裝置時間表、調查來自網路釣魚連結的初始存取,或您的環境中是否仍有惡意通訊。
事件和警示
![[事件和警示] 索引標籤提供與 URL 或網域相關聯的事件清單。](media/domain-incidents.png)
[事件和警示] 索引標籤提供與 URL 或網域相關聯的事件清單。 此處顯示的表格是「事件佇列」畫面上可見的事件的篩選版本,僅顯示與 URL 或網域相關聯的事件、其嚴重性、受影響的資產等。
[事件和警示] 索引標籤可以調整為顯示更多或更少的資訊,方法是從資料行標頭上方的動作功能表中選取 [自訂資料行]。 也可以通過在同一菜單上選擇每頁的項目來調整顯示的項目數量。
裝置
「裝置」標籤提供針對特定 URL 或網域觀察到的所有裝置的時間順序檢視。 此索引標籤包括趨勢圖表和可自訂的表格,其中列出裝置詳細資料,例如風險等級、網域等。 除此之外,您還可以查看裝置與 URL 或網域互動的第一個和最後一個事件時間,以及此事件的動作類型。 使用裝置名稱旁邊的功能表,您可以快速轉向裝置時間表,以進一步調查涉及此 URL 或網域的事件之前或之後發生的情況。
雖然預設時間段是過去 30 天,但您可以從卡片角落的下拉式清單中自訂此時間段。 可用的最短範圍是過去一天的流行率,而最長的範圍是過去六個月的流行率。
使用表格上方的匯出按鈕,您可以將所有資料匯出到 .csv 檔案 (,包括第一個和最後一個事件時間以及動作類型) ,以便進一步調查和報告。
電子郵件
此 電子郵件 索引標籤提供過去 30 天內觀察到的所有包含 URL 或網域的電子郵件的詳細檢視。 此選項卡包括一個趨勢圖和一個可自定義的表格,其中列出了電子郵件詳細信息,例如主題、發件人、收件人等。
點擊次數
「點擊次數」標籤提供過去 30 天內觀察到的 URL 或網域的所有點擊的詳細檢視。
調查網址或網域
從 搜尋列 下拉式功能表中選取 URL。
在 搜尋 欄位中輸入URL。 或者,您可以從 [事件攻擊劇本] 索引標籤、 裝置時間表、透過 進階搜捕,或從 電子郵件側邊面板和頁面流覽至 URL 或網域。
按一下搜尋圖示或按 Enter 鍵。 將顯示有關 URL 的詳細信息。
注意事項
只會針對組織中裝置的通訊中觀察到的 URL 傳回搜尋結果。
使用搜尋篩選器來定義搜尋條件。 您也可以使用時間軸搜尋方塊來篩選組織中觀察到與 URL 通訊的所有裝置、與通訊相關聯的檔案以及觀察到的上次日期的顯示結果。
按一下任何裝置名稱都會帶您前往該裝置的檢視,您可以在其中繼續調查報告的警示、行為和事件。 **
如果您不同意 URL 或網域的判定,您可以選取 **提交給 Microsoft 進行分析,將其報告為 乾淨、 網路釣魚或 惡意 Microsoft。
![URL/網域頁面中的 [提交以供分析] 選項](/zh-tw/defender/media/investigate-urls/investigate-url-submission.png#lightbox)
相關文章
- 檢視及組織適用於端點的 Microsoft Defender 警示佇列
- 管理適用於端點的 Microsoft Defender 警示
- 調查適用於端點的 Microsoft Defender 警示
- 調查與適用於端點的 Microsoft Defender 警示相關聯的檔案
- 調查 適用於端點的 Microsoft Defender [裝置] 清單中的裝置
- 調查與適用於端點的 Microsoft Defender警示相關聯的 IP 位址
- 調查適用於端點的 Microsoft Defender中的使用者帳戶
提示
想要深入了解? 在我們的技術社區中與Microsoft安全社區Engage:適用於端點的 Microsoft Defender技術社區。