Etki alanlarını ve URL'leri araştırma
Şunlar için geçerlidir:
- Uç Nokta için Microsoft Defender Planı 1
- Uç Nokta için Microsoft Defender Planı 2
- Microsoft Defender XDR
Uç nokta için Defender'i deneyimlemek ister misiniz? Ücretsiz deneme için kaydolun.
Kurumsal ağınızdaki cihazların ve sunucuların bilinen bir kötü amaçlı etki alanıyla iletişim kurup kurmadığını görmek için bir etki alanını araştırın.
Arama özelliğini kullanarak, olay deneyiminden (kanıt sekmesinde veya uyarı hikayesinden), gelişmiş tehdit avcılığından, e-posta sayfasından ve yan panelden veya Cihaz zaman çizelgesindeki URL veya etki alanı bağlantısına tıklayarak bir URL'yi veya etki alanını araştırabilirsiniz.
URL ve etki alanı görünümünde aşağıdaki bölümlerde yer alan bilgileri görebilirsiniz:
Etki alanı ayrıntıları, kayıt şirketi iletişim bilgileri
Microsoft kararı
Bu URL veya etki alanıyla ilgili olaylar ve uyarılar
Kuruluştaki URL veya etki alanının yaygınlığı
URL veya etki alanı ile en son gözlemlenen cihazlar
URL veya etki alanını içeren en son e-postalar
URL'ye veya etki alanına yapılan en son tıklamalar
Etki alanı varlığı
URL sayfasındaki veya yan paneldeki etki alanı ayrıntılarından etki alanı sayfasına dönebilirsiniz, yalnızca Etki alanı sayfasını görüntüle bağlantısına tıklayın. Etki alanı varlığı, URL'lerden gelen tüm verilerin FQDN (Tam etki alanı adı) ile bir toplamasını gösterir. Örneğin, ile iletişim halinde sub.domain.tld/path1
bir cihaz gözlemlenirse ve ile sub.domain.tld/path2
iletişim halinde başka bir cihaz gözlemlenirse, yukarıdakilerin her URL'si bir cihaz gözlemi gösterir ve etki alanı iki cihaz gözlemini gösterir. Bu durumda, ile iletişim kuran bir cihaz bu etki alanı sayfasıyla değil, ile othersub.domain.tld/path
bağıntı kurmaz othersub.domain.tld
.
URL ve Etki Alanına genel bakış
URL dünya çapında bölümünde URL, whois ile ilgili diğer ayrıntıların bağlantısı, ilgili açık olayların sayısı ve etkin uyarı sayısı, etkilenen cihaz sayısı, e-postalar ve gözlemlenen kullanıcı tıklamalarının sayısı listelenir.
URL özeti ayrıntıları
Sorgu parametreleri ve uygulama düzeyi protokolüyle özgün URL'yi (mevcut URL bilgileri) görüntüler. Bunun altında kayıt tarihi, değiştirme tarihi ve kayıt şirketi iletişim bilgileri gibi tüm etki alanı ayrıntılarını bulabilirsiniz.
URL veya etki alanı, cihaz yaygınlığı, e-postalar ve kullanıcı tıklamaları bölümü için Microsoft kararı. Bu alanda, son 30 gün içinde URL veya etki alanıyla iletişim kuran cihaz sayısını görebilir ve cihaz zaman çizelgesindeki ilk veya son olaya hemen özetleyebilirsiniz. İlk erişimi araştırmak veya ortamınızda hala kötü amaçlı bir etkinlik olup olmadığını araştırmak için.
Olaylar ve uyarılar
Olay ve uyarılar bölümünde, son 180 gün içindeki olaylardaki tüm etkin uyarıların çubuk grafiği görüntülenir.
Microsoft kararı
Microsoft karar bölümünde, Microsoft TI kitaplığındaki URL veya etki alanının kararı görüntülenir. URL'nin veya etki alanının zaten kimlik avı veya kötü amaçlı varlık olarak bilinip bilinmediğini gösterir.
Prevalans
Yaygınlık bölümü, url veya etki alanıyla belirli bir süre içinde iletişim kuran farklı cihazların sayısını gösteren ve eğilim grafiği gibi son 30 gün içinde kuruluş içindeki URL'nin yaygınlığıyla ilgili ayrıntıları sağlar. Son 30 gün içinde URL ile iletişim kuran ilk ve son cihaz gözlemlerinin ayrıntılarını aşağıda bulabilirsiniz. Burada, kimlik avı bağlantısından ilk erişimi araştırmak veya ortamınızda hala kötü amaçlı bir iletişim olup olmadığını araştırmak için cihaz zaman çizelgesine hemen dönebilirsiniz.
Olay ve uyarılar
Olay ve uyarılar sekmesi, URL veya etki alanıyla ilişkili olayların listesini sağlar. Burada gösterilen tablo Olay kuyruğu ekranında görünen olayların filtrelenmiş bir sürümüdür ve yalnızca URL veya etki alanıyla ilişkili olayları, önem derecelerini, etkilenen varlıkları ve daha fazlasını gösterir.
Olaylar ve uyarılar sekmesi, sütun üst bilgilerinin üstündeki eylem menüsünde Sütunları özelleştir'i seçerek daha fazla veya daha az bilgi gösterecek şekilde ayarlanabilir. Aynı menüde sayfa başına öğe seçilerek görüntülenen öğe sayısı da ayarlanabilir.
Aygıtları
Cihazlar sekmesi, belirli bir URL veya etki alanı için gözlemlenen tüm cihazların kronolojik görünümünü sağlar. Bu sekme bir eğilim grafiği ve risk düzeyi, etki alanı ve daha fazlası gibi cihaz ayrıntılarını listeleyen özelleştirilebilir bir tablo içerir. Bunun ötesinde, cihazın URL veya etki alanıyla etkileşime geçtiği ilk ve son olay zamanlarını ve bu olayın eylem türünü görebilirsiniz. Cihaz adının yanındaki menüyü kullanarak, bu URL'yi veya etki alanını içeren olaydan önce veya sonra ne olduğunu daha fazla araştırmak için cihaz zaman çizelgesine hızla dönebilirsiniz.
Varsayılan süre son 30 gün olsa da, kartın köşesindeki açılan menüden bunu özelleştirebilirsiniz. Kullanılabilir en kısa aralık, son gündeki yaygınlık için, en uzun aralık ise son altı ayın üzerindedir.
Tablonun üstündeki dışarı aktar düğmesini kullanarak, daha fazla araştırma ve raporlama için tüm verileri bir .csv dosyasına (ilk ve son olay zamanı ve eylem türü dahil) dışarı aktarabilirsiniz.
Emails
E-postalar sekmesi, URL'yi veya etki alanını içeren son 30 gün içinde gözlemlenen tüm e-postaların ayrıntılı bir görünümünü sağlar. Bu sekme bir eğilim grafiği ve konu, gönderen, alıcı ve daha fazlası gibi e-posta ayrıntılarını listeleyen özelleştirilebilir bir tablo içerir.
Tıklama
Tıklamalar sekmesi, son 30 gün içinde gözlemlenen URL'ye veya etki alanına yapılan tüm tıklamaların ayrıntılı bir görünümünü sağlar.
URL'yi veya etki alanını araştırma
Arama çubuğu açılan menüsünden URL'yi seçin.
URL'yi Arama alanına girin. Alternatif olarak, Olay saldırısı hikayesi sekmesinden, cihaz zaman çizelgesinden, gelişmiş tehdit avcılığı aracılığıyla veya e-posta yan panelinden ve sayfasından URL'ye veya etki alanına gidebilirsiniz.
Arama simgesine tıklayın veya Enter tuşuna basın. URL ile ilgili ayrıntılar görüntülenir.
Not
Arama sonuçları yalnızca kuruluştaki cihazlardan gelen iletişimlerde gözlemlenen URL'ler için döndürülür.
Arama ölçütlerini tanımlamak için arama filtrelerini kullanın. Zaman çizelgesi arama kutusunu kullanarak kuruluştaki url ile iletişim kurarak gözlemlenen tüm cihazların görüntülenen sonuçlarını, iletişimle ilişkili dosyayı ve gözlemlenen son tarihi de filtreleyebilirsiniz.
Cihaz adlarından herhangi birine tıkladığınızda bu cihazın görünümüne gidebilirsiniz; burada bildirilen uyarıları, davranışları ve olayları araştırmaya devam edebilirsiniz. **
URL veya etki alanının kararına katılmıyorsanız, **Analiz için Microsoft'a gönder'i seçerek bu url'yi temiz, kimlik avı veya kötü amaçlı olarak Microsoft'a bildirebilirsiniz.
İlgili makaleler
- Uç Nokta için Microsoft Defender Uyarıları kuyruğu görüntüleme ve düzenleme
- Uç Nokta için Microsoft Defender uyarılarını yönetme
- Uç Nokta için Microsoft Defender uyarılarını araştırma
- Uç Nokta için Microsoft Defender uyarısıyla ilişkili bir dosyayı araştırma
- Uç Nokta için Microsoft Defender Cihazlar listesindeki cihazları araştırma
- Uç Nokta için Microsoft Defender uyarısıyla ilişkili IP adresini araştırma
- Uç Nokta için Microsoft Defender'de kullanıcı hesabını araştırma
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.