Analizzare domini e URL

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Esaminare un dominio per verificare se i dispositivi e i server nella rete aziendale comunicano con un dominio dannoso noto.

È possibile analizzare un URL o un dominio usando la funzionalità di ricerca, dall'esperienza dell'evento imprevisto (nella scheda dell'evidenza o dalla storia dell'avviso), dalla ricerca avanzata, dalla pagina di posta elettronica e dal pannello laterale oppure facendo clic sull'URL o sul collegamento di dominio dalla sequenza temporale del dispositivo.

È possibile visualizzare informazioni dalle sezioni seguenti nella visualizzazione URL e dominio:

  • Dettagli dominio, informazioni di contatto del registrante

  • Verdetto microsoft

  • Eventi imprevisti e avvisi correlati a questo URL o dominio

  • Prevalenza dell'URL o del dominio nell'organizzazione

  • Dispositivi osservati più recenti con URL o dominio

  • Messaggi di posta elettronica più recenti contenenti l'URL o il dominio

  • Clic più recenti sull'URL o sul dominio

Pagina url/dominio principale

Entità di dominio

È possibile passare alla pagina di dominio tramite pivot dai dettagli del dominio nella pagina URL o nel pannello laterale, facendo clic sul collegamento Visualizza pagina dominio . L'entità di dominio mostra un'aggregazione di tutti i dati dagli URL con il nome di dominio completo (nome di dominio completo). Ad esempio, se si osserva un dispositivo che comunica con sub.domain.tld/path1e un altro dispositivo comunica con sub.domain.tld/path2, ogni URL di quanto sopra mostrerà un'osservazione del dispositivo e il dominio mostrerà le due osservazioni del dispositivo. In questo caso, un dispositivo con othersub.domain.tld/path cui è stata comunicata non sarà correlato a questa pagina di dominio, ma a othersub.domain.tld.

Panoramica di URL e dominio

La sezione URL in tutto il mondo elenca l'URL, un collegamento ad altri dettagli su whois, il numero di eventi imprevisti aperti correlati e il numero di avvisi attivi, il numero di dispositivi interessati, i messaggi di posta elettronica e il numero di clic dell'utente osservati.

Dettagli di riepilogo URL

Visualizza l'URL originale (informazioni sull'URL esistente) con i parametri di query e il protocollo a livello di applicazione. Di seguito è possibile trovare i dettagli completi del dominio, ad esempio la data di registrazione, la data di modifica e le informazioni di contatto del registrante.

Verdetto Microsoft dell'URL o del dominio, una sezione relativa alla prevalenza dei dispositivi, ai messaggi di posta elettronica e ai clic dell'utente. In questa area è possibile visualizzare il numero di dispositivi che hanno comunicato con l'URL o il dominio negli ultimi 30 giorni e passare immediatamente al primo o all'ultimo evento nella sequenza temporale del dispositivo. Per analizzare l'accesso iniziale o se è ancora presente un'attività dannosa nell'ambiente.

Eventi imprevisti e avvisi

La sezione Eventi imprevisti e avvisi visualizza un grafico a barre di tutti gli avvisi attivi negli eventi imprevisti negli ultimi 180 giorni.

Verdetto microsoft

Nella sezione Verdetto Microsoft viene visualizzato il verdetto dell'URL o del dominio della libreria Microsoft TI. Indica se l'URL o il dominio è già noto come phishing o entità dannosa.

Prevalenza

La sezione Prevalenza fornisce i dettagli sulla prevalenza dell'URL all'interno dell'organizzazione, negli ultimi 30 giorni, grafico di tendenza e di questo tipo, che mostra il numero di dispositivi distinti che hanno comunicato con l'URL o il dominio in un determinato periodo di tempo. Di seguito è possibile trovare i dettagli della prima e dell'ultima osservazione del dispositivo comunicata con l'URL negli ultimi 30 giorni, in cui è possibile passare immediatamente alla sequenza temporale del dispositivo, per analizzare l'accesso iniziale dal collegamento phish o se è ancora presente una comunicazione dannosa nell'ambiente.

Eventi imprevisti e avvisi

La scheda eventi imprevisti e avvisi fornisce un elenco di eventi imprevisti associati all'URL o al dominio.

La scheda eventi imprevisti e avvisi fornisce un elenco di eventi imprevisti associati all'URL o al dominio. La tabella mostrata qui è una versione filtrata degli eventi imprevisti visibile nella schermata Coda eventi imprevisti, che mostra solo gli eventi imprevisti associati all'URL o al dominio, la relativa gravità, gli asset interessati e altro ancora.

La scheda Eventi imprevisti e avvisi può essere modificata per visualizzare più o meno informazioni selezionando Personalizza colonne dal menu azione sopra le intestazioni di colonna. È anche possibile modificare il numero di elementi visualizzati selezionando gli elementi per pagina nello stesso menu.

Dispositivi

La scheda del dispositivo visualizza il numero di dispositivi distinti che hanno comunicato con l'URL o il dominio in un determinato periodo di tempo.

La scheda Dispositivi fornisce una visualizzazione cronologica di tutti i dispositivi osservati per un URL specifico o un dominio. Questa scheda include un grafico delle tendenze e una tabella personalizzabile che elenca i dettagli del dispositivo, ad esempio il livello di rischio, il dominio e altro ancora. Oltre a questo, è possibile visualizzare il primo e l'ultimo evento in cui il dispositivo ha interagito con l'URL o il dominio e il tipo di azione di questo evento. Usando il menu accanto al nome del dispositivo, è possibile passare rapidamente alla sequenza temporale del dispositivo per analizzare ulteriormente cosa è successo prima o dopo l'evento che ha coinvolto questo URL o dominio.

Anche se il periodo di tempo predefinito è degli ultimi 30 giorni, è possibile personalizzare questo elemento dall'elenco a discesa disponibile nell'angolo della scheda. L'intervallo più breve disponibile è per la prevalenza nell'ultimo giorno, mentre l'intervallo più lungo è negli ultimi sei mesi.

Usando il pulsante esporta sopra la tabella, è possibile esportare tutti i dati in un file di .csv (inclusi la prima e l'ultima ora dell'evento e il tipo di azione) per ulteriori indagini e report.

Messaggi di posta elettronica

La scheda Messaggi di posta elettronica fornisce una visualizzazione dettagliata di tutti i messaggi di posta elettronica osservati negli ultimi 30 giorni che contenevano l'URL o il dominio. Questa scheda include un grafico delle tendenze e una tabella personalizzabile che elenca i dettagli di posta elettronica, ad esempio oggetto, mittente, destinatario e altro ancora.

Scheda posta elettronica per l'analisi di un URL/dominio

Clic

La scheda Clic fornisce una visualizzazione dettagliata di tutti i clic sull'URL o sul dominio osservati negli ultimi 30 giorni.

Analizzare un URL o un dominio

  1. Selezionare URL dal menu a discesa della barra Search.

  2. Immettere l'URL nel campo Search. In alternativa, è possibile passare all'URL o al dominio dalla scheda Storia dell'attacco imprevisto, dalla sequenza temporale del dispositivo, alla ricerca avanzata o dal pannello e dalla pagina lato posta elettronica.

  3. Fare clic sull'icona di ricerca o premere INVIO. Vengono visualizzati i dettagli sull'URL.

    Nota

    Search risultati verranno restituiti solo per gli URL osservati nelle comunicazioni dai dispositivi dell'organizzazione.

  4. Usare i filtri di ricerca per definire i criteri di ricerca. È anche possibile usare la casella di ricerca della sequenza temporale per filtrare i risultati visualizzati di tutti i dispositivi dell'organizzazione che comunicano con l'URL, il file associato alla comunicazione e l'ultima data osservata.

  5. Se si fa clic su uno dei nomi dei dispositivi, si accede alla visualizzazione del dispositivo, in cui è possibile continuare a analizzare avvisi, comportamenti ed eventi segnalati. **

  6. Se non si è d'accordo con il verdetto di un URL o di un dominio, è possibile segnalarlo a Microsoft come pulito, phishing o dannoso selezionando **Invia a Microsoft per l'analisi.

Opzione Invia per l'analisi nella pagina URL/dominio

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.