ドメインと URL を調査する

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

ドメインを調査して、エンタープライズ ネットワーク内のデバイスとサーバーが既知の悪意のあるドメインと通信しているかどうかを確認します。

URL またはドメインを調査するには、検索機能、インシデント エクスペリエンス ([証拠] タブ、またはアラート ストーリーから)、高度なハンティングから、電子メール ページとサイド パネルから、または [デバイス] タイムラインの [URL またはドメイン] リンクをクリックします。

URL とドメイン ビューでは、次のセクションの情報を確認できます。

  • ドメインの詳細、登録者の連絡先情報

  • Microsoft の評決

  • この URL またはドメインに関連するインシデントとアラート

  • organization内の URL またはドメインの普及率

  • URL またはドメインを持つ最新の観察済みデバイス

  • URL またはドメインを含む最新のメール

  • URL またはドメインへの最新のクリック

メイン URL/ドメイン ページ

ドメイン エンティティ

URL ページまたはサイド パネルのドメインの詳細からドメイン ページにピボットできます。[ ドメイン ページの表示 ] リンクをクリックするだけです。 ドメイン エンティティは、FQDN (完全修飾ドメイン名) を持つ URL のすべてのデータの集計を示します。 たとえば、あるデバイスが と sub.domain.tld/path1通信していて、別のデバイスが と sub.domain.tld/path2通信しているのを観察した場合、上記の各 URL には 1 つのデバイスの観察が表示され、ドメインには 2 つのデバイスの観測が表示されます。 この場合、 と othersub.domain.tld/path 通信したデバイスは、このドメイン ページではなく に othersub.domain.tld関連付けられます。

URL とドメインの概要

[世界中の URL] セクションには、URL、whois の詳細へのリンク、関連するオープン インシデントの数、アクティブなアラートの数、影響を受けるデバイスの数、電子メール、観察されたユーザークリック数が一覧表示されます。

URL の概要の詳細

クエリ パラメーターとアプリケーション レベルのプロトコルを使用して、元の URL (既存の URL 情報) を表示します。 以下では、登録日、変更日、登録者の連絡先情報など、ドメインの完全な詳細を確認できます。

MICROSOFT は、URL またはドメイン、デバイスの普及率、電子メール、ユーザーのクリックに関するセクションの判定を行います。 この領域では、過去 30 日間に URL またはドメインと通信したデバイスの数を確認し、デバイスタイムラインの最初または最後のイベントにすぐにピボットできます。 初期アクセスを調査するため、または環境内に悪意のあるアクティビティが残っている場合。

インシデントと警告

[インシデントとアラート] セクションには、過去 180 日間のインシデントのすべてのアクティブなアラートの棒グラフが表示されます。

Microsoft の評決

[Microsoft の評決] セクションには、Microsoft TI ライブラリからの URL またはドメインの判定が表示されます。 URL またはドメインが既にフィッシングまたは悪意のあるエンティティと呼ばれるかどうかを示します。

有 病 率

[有病率] セクションには、過去 30 日間のorganization内の URL の普及率の詳細と傾向グラフが表示されます。これは、特定の期間に URL またはドメインと通信した個別のデバイスの数を示します。 次に、過去 30 日間に URL と通信した最初と最後のデバイスの監視の詳細を確認できます。ここで、デバイスタイムラインにすぐにピボットし、フィッシング リンクからの初期アクセスを調査したり、環境内に悪意のある通信が残っている場合は確認できます。

インシデントとアラート

[インシデントとアラート] タブには、URL またはドメインに関連付けられているインシデントの一覧が表示されます。

[インシデントとアラート] タブには、URL またはドメインに関連付けられているインシデントの一覧が表示されます。 次の表は、[インシデント キュー] 画面に表示されるインシデントのフィルター処理されたバージョンで、URL またはドメインに関連付けられているインシデント、重大度、影響を受ける資産などを示しています。

[インシデントとアラート] タブは、列ヘッダーの上にあるアクション メニューから [ 列のカスタマイズ ] を選択することで、多かれ少なかれ情報を表示するように調整できます。 表示される項目の数は、同じメニューでページごとに項目を選択することで調整することもできます。

デバイス

[デバイス] タブには、特定の期間に URL またはドメインと通信した個別のデバイスの数が表示されます。

[デバイス] タブには、特定の URL またはドメインについて観察されたすべてのデバイスの時系列ビューが表示されます。 このタブには、傾向グラフと、リスク レベル、ドメインなど、デバイスの詳細を一覧表示するカスタマイズ可能なテーブルが含まれています。 それ以外に、デバイスが URL またはドメインと対話した最初と最後のイベント時刻と、このイベントのアクションの種類を確認できます。 デバイス名の横にあるメニューを使用すると、デバイス タイムラインにすばやくピボットして、この URL またはドメインに関係するイベントの前後に何が起こったかをさらに調査できます。

既定の期間は過去 30 日間ですが、カードの隅にあるドロップダウンからカスタマイズできます。 最も短い範囲は過去 1 日の普及に使用でき、最も長い範囲は過去 6 か月間です。

テーブルの上にあるエクスポート ボタンを使用すると、すべてのデータを .csv ファイル (最初と最後のイベント時刻とアクションの種類を含む) にエクスポートして、さらに調査およびレポートを行うことができます。

メール

[電子メール] タブには、URL またはドメインを含む過去 30 日間に観察されたすべてのメールの詳細ビューが表示されます。 このタブには、傾向グラフと、件名、送信者、受信者などの電子メールの詳細を一覧表示するカスタマイズ可能なテーブルが含まれています。

URL/ドメインを調査するための [電子メール] タブ

クリック

[クリック] タブには、過去 30 日間に観察されたすべての URL またはドメインへのクリックの詳細が表示されます。

URL またはドメインを調査する

  1. [Search バー] ドロップダウン メニューから [URL] を選択します。

  2. [Search] フィールドに URL を入力します。 または、[インシデント攻撃ストーリー] タブデバイス タイムライン高度なハンティングまたは電子メールのサイド パネルとページから URL またはドメインに移動することもできます。

  3. 検索アイコンをクリックするか 、Enter キーを押します。 URL の詳細が表示されます。

    注:

    Search結果は、organization内のデバイスからの通信で観察された URL に対してのみ返されます。

  4. 検索条件を定義するには、検索フィルターを使用します。 また、タイムライン検索ボックスを使用して、URL との通信を観察したorganizationのすべてのデバイスの表示結果、通信に関連付けられたファイル、および最後に観察された日付をフィルター処理することもできます。

  5. デバイス名をクリックすると、そのデバイスのビューに移動し、報告されたアラート、動作、イベントを引き続き調査できます。 **

  6. URL またはドメインの判定に同意しない場合は、分析のために [Microsoft に送信] を選択して、クリーンフィッシング、または悪意のあるものとして Microsoft に報告できます。

[URL/ドメイン] ページの [分析用に送信] オプション

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。