Investigar domínios e URLs
Aplica-se a:
- Plano 1 do Microsoft Defender para Ponto de Extremidade
- Plano 2 do Microsoft Defender para Ponto de Extremidade
- Microsoft Defender XDR
Deseja experimentar o Defender para Ponto de Extremidade? Inscreva-se para uma avaliação gratuita.
Investigue um domínio para ver se os dispositivos e servidores em sua rede corporativa estão se comunicando com um domínio mal-intencionado conhecido.
Você pode investigar uma URL ou domínio usando o recurso de pesquisa, da experiência de incidente (na guia evidências ou da história do alerta), da caça avançada, da página de email e do painel lateral ou clicando na URL ou no link de domínio do dispositivo linha do tempo.
Você pode ver informações das seguintes seções na exibição de URL e domínio:
Detalhes do domínio, informações de contato do registrador
Veredicto da Microsoft
Incidentes e alertas relacionados a essa URL ou domínio
Prevalência da URL ou domínio na organização
Dispositivos observados mais recentes com URL ou domínio
Emails mais recentes que contêm a URL ou o domínio
Cliques mais recentes na URL ou no domínio
Entidade de domínio
Você pode pivotar para a página de domínio a partir dos detalhes do domínio na página de URL ou painel lateral, basta clicar em Exibir link de página de domínio . A entidade de domínio mostra uma agregação de todos os dados das URLs com o FQDN (nome de domínio totalmente qualificado). Por exemplo, se um dispositivo for observado se comunicando com sub.domain.tld/path1
, e outro dispositivo for observado se comunicando com sub.domain.tld/path2
, cada URL do acima mostrará uma observação do dispositivo e o domínio mostrará as duas observações do dispositivo. Nesse caso, um dispositivo com othersub.domain.tld/path
o qual se comunicou não se correlaciona com essa página de domínio, mas com othersub.domain.tld
.
Visão geral da URL e do Domínio
A seção URL em todo o mundo lista a URL, um link para mais detalhes em whois, o número de incidentes abertos relacionados e o número de alertas ativos, o número de dispositivos afetados, emails e o número de cliques do usuário observados.
Detalhes do resumo da URL
Exibe a URL original (informações de URL existentes), com os parâmetros de consulta e o protocolo no nível do aplicativo. Abaixo, você pode encontrar os detalhes completos do domínio, como data de registro, data de modificação e informações de contato do registrador.
Veredicto da Microsoft sobre a URL ou domínio, uma seção de prevalência de dispositivos, emails e cliques do usuário. Nesta área, você pode ver o número de dispositivos que se comunicaram com a URL ou domínio nos últimos 30 dias e girar para o primeiro ou último evento no dispositivo linha do tempo imediatamente. Para investigar o acesso inicial ou se ainda há uma atividade mal-intencionada em seu ambiente.
Incidentes e alertas
A seção Incidente e alertas exibe um gráfico de barras de todos os alertas ativos em incidentes nos últimos 180 dias.
Veredicto da Microsoft
A seção veredicto da Microsoft exibe o veredicto da URL ou domínio da biblioteca de TI da Microsoft. Ele mostra se a URL ou o domínio já é conhecido como phishing ou entidade mal-intencionada.
Prevalência
A seção Prevalência fornece os detalhes sobre a prevalência da URL dentro da organização, nos últimos 30 dias, tal e gráfico de tendências – que mostra o número de dispositivos distintos que se comunicaram com a URL ou domínio durante um período específico de tempo. Abaixo, você pode encontrar detalhes das observações do primeiro e último dispositivo comunicadas com a URL nos últimos 30 dias, em que você pode pivotar para o dispositivo linha do tempo imediatamente, para investigar o acesso inicial do link de phish ou se ainda há uma comunicação mal-intencionada em seu ambiente.
Incidentes e alertas
A guia incidente e alertas fornece uma lista de incidentes associados à URL ou ao domínio. A tabela mostrada aqui é uma versão filtrada dos incidentes visíveis na tela de fila incidente, mostrando apenas incidentes associados à URL ou domínio, sua gravidade, ativos afetados e muito mais.
A guia incidentes e alertas pode ser ajustada para mostrar mais ou menos informações, selecionando Personalizar colunas no menu de ação acima dos cabeçalhos da coluna. O número de itens exibidos também pode ser ajustado selecionando itens por página no mesmo menu.
Dispositivos
A guia Dispositivos fornece uma exibição cronológica de todos os dispositivos que foram observados para uma URL específica ou um domínio. Essa guia inclui um gráfico de tendências e uma tabela personalizável listando detalhes do dispositivo, como nível de risco, domínio e muito mais. Além disso, você pode ver os primeiros e últimos horários de evento em que o dispositivo interagiu com a URL ou domínio e o tipo de ação desse evento. Usando o menu ao lado do nome do dispositivo, você pode rapidamente pivotar para o dispositivo linha do tempo para investigar ainda mais o que aconteceu antes ou depois do evento que envolveu essa URL ou domínio.
Embora o período de tempo padrão seja dos últimos 30 dias, você pode personalizar isso na lista suspensa disponível no canto do cartão. O intervalo mais curto disponível é para prevalência no último dia, enquanto o intervalo mais longo é nos últimos seis meses.
Usando o botão de exportação acima da tabela, você pode exportar todos os dados para um arquivo de .csv (incluindo o primeiro e o último tipo de ação e hora do evento) para uma investigação e relatórios adicionais.
Emails
A guia Emails fornece uma exibição detalhada de todos os emails observados nos últimos 30 dias que continham a URL ou o domínio. Essa guia inclui um gráfico de tendências e uma tabela personalizável listando detalhes de email, como assunto, remetente, destinatário e muito mais.
Cliques
A guia Cliques fornece uma exibição detalhada de todos os cliques na URL ou domínio observados nos últimos 30 dias.
Investigar uma URL ou domínio
Selecione URL no menu suspenso da barra de Pesquisa.
Insira a URL no campo Pesquisa. Como alternativa, você pode navegar até a URL ou domínio a partir da guia História de ataque de incidente, desde o dispositivo linha do tempo, até a caça avançada ou pelo painel e página do lado do email.
Clique no ícone de pesquisa ou pressione Enter. Os detalhes sobre a URL são exibidos.
Observação
Pesquisa resultados só serão retornados para URLs observadas em comunicações de dispositivos da organização.
Use os filtros de pesquisa para definir os critérios de pesquisa. Você também pode usar a caixa de pesquisa linha do tempo para filtrar os resultados exibidos de todos os dispositivos na organização observados se comunicando com a URL, o arquivo associado à comunicação e a última data observada.
Clicar em qualquer um dos nomes de dispositivo o levará ao modo de exibição desse dispositivo, no qual você pode continuar a investigar alertas, comportamentos e eventos relatados. **
Se você discordar do veredicto de uma URL ou domínio, poderá denunciá-la à Microsoft como limpo, phishing ou mal-intencionada selecionando **Enviar à Microsoft para análise.
Artigos relacionados
- Exibir e organizar a fila de alerta do Microsoft Defender para Ponto de Extremidade
- Gerenciar alertas de Microsoft Defender para Ponto de Extremidade
- Investigar alertas de Microsoft Defender para Ponto de Extremidade
- Investigar um arquivo associado a um alerta de Microsoft Defender para Ponto de Extremidade
- Investigar dispositivos na lista Microsoft Defender para Ponto de Extremidade Dispositivos
- Investigar um endereço IP associado a um alerta de Microsoft Defender para Ponto de Extremidade
- Investigar uma conta de usuário no Microsoft Defender para Ponto de Extremidade
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.