Investigar un dominio asociado a una alerta de Microsoft Defender para punto de conexiónInvestigate a domain associated with a Microsoft Defender for Endpoint alert

Se aplica a:Applies to:

¿Desea experimentar Defender for Endpoint?Want to experience Defender for Endpoint? Regístrate para obtener una versión de prueba gratuita.Sign up for a free trial.

Investigar un dominio para ver si los dispositivos y servidores de la red empresarial se han estado comunicando con un dominio malintencionado conocido.Investigate a domain to see if devices and servers in your enterprise network have been communicating with a known malicious domain.

Puedes investigar un dominio mediante la característica de búsqueda o haciendo clic en un vínculo de dominio desde la escala de tiempo del dispositivo.You can investigate a domain by using the search feature or by clicking on a domain link from the Device timeline.

Puede ver información de las siguientes secciones en la vista DIRECCIÓN URL:You can see information from the following sections in the URL view:

  • Detalles de dirección URL, Contactos, Servidores de nombresURL details, Contacts, Nameservers
  • Alertas relacionadas con esta dirección URLAlerts related to this URL
  • DIRECCIÓN URL en la organizaciónURL in organization
  • Dispositivos observados más recientes con dirección URLMost recent observed devices with URL

DIRECCIÓN URL en todo el mundoURL worldwide

La sección Dirección URL en todo el mundo enumera la dirección URL, un vínculo a más detalles en Whois, el número de incidentes abiertos relacionados y el número de alertas activas.The URL Worldwide section lists the URL, a link to further details at Whois, the number of related open incidents, and the number of active alerts.

IncidenteIncident

La tarjeta Incidentes muestra un gráfico de barras de todas las alertas activas en incidentes de los últimos 180 días.The Incident card displays a bar chart of all active alerts in incidents over the past 180 days.

PrevalenciaPrevalence

La tarjeta de prevalencia proporciona detalles sobre la prevalencia de la dirección URL dentro de la organización, durante un período de tiempo especificado.The Prevalence card provides details on the prevalence of the URL within the organization, over a specified period of time.

Aunque el período de tiempo predeterminado es de los últimos 30 días, puede personalizar el intervalo seleccionando la flecha hacia abajo en la esquina de la tarjeta.Although the default time period is the past 30 days, you can customize the range by selecting the downward-pointing arrow in the corner of the card. El intervalo más corto disponible es el de prevalencia del último día, mientras que el intervalo más largo es el de los últimos 6 meses.The shortest range available is for prevalence over the past day, while the longest range is over the past 6 months.

AlertasAlerts

La pestaña Alertas proporciona una lista de alertas asociadas a la dirección URL.The Alerts tab provides a list of alerts that are associated with the URL. La tabla que se muestra aquí es una versión filtrada de las alertas visibles en la pantalla Cola de alertas, que muestra solo alertas asociadas con el dominio, su gravedad, estado, incidente asociado, clasificación, estado de investigación, etc.The table shown here is a filtered version of the alerts visible on the Alert queue screen, showing only alerts associated with the domain, their severity, status, the associated incident, classification, investigation state, and more.

La pestaña Alertas se puede ajustar para mostrar más o menos información, seleccionando Personalizar columnas en el menú de acciones encima de los encabezados de columna.The Alerts tab can be adjusted to show more or less information, by selecting Customize columns from the action menu above the column headers. El número de elementos que se muestran también se puede ajustar seleccionando elementos por página en el mismo menú.The number of items displayed can also be adjusted, by selecting items per page on the same menu.

Observado en la organizaciónObserved in organization

La pestaña Observed in organization proporciona una vista cronológica de los eventos y alertas asociadas que se observaron en la dirección URL.The Observed in organization tab provides a chronological view on the events and associated alerts that were observed on the URL. Esta pestaña incluye una escala de tiempo y una tabla personalizable que enumera los detalles del evento, como la hora, el dispositivo y una breve descripción de lo que ocurrió.This tab includes a timeline and a customizable table listing event details, such as the time, device, and a brief description of what happened.

Puede ver eventos de diferentes períodos de tiempo especificando las fechas en los campos de texto encima de los encabezados de tabla.You can view events from different periods of time by entering the dates into the text fields above the table headers. También puedes personalizar el intervalo de tiempo seleccionando diferentes áreas de la escala de tiempo.You can also customize the time range by selecting different areas of the timeline.

Investigar un dominio:Investigate a domain:

  1. Seleccione DIRECCIÓN URL en el menú desplegable De la barra de búsqueda.Select URL from the Search bar drop-down menu.
  2. Escriba la dirección URL en el campo Búsqueda.Enter the URL in the Search field.
  3. Haga clic en el icono de búsqueda o presione Entrar.Click the search icon or press Enter. Se muestran los detalles sobre la dirección URL.Details about the URL are displayed. Nota: los resultados de la búsqueda solo se devolverán para las direcciones URL observadas en las comunicaciones de los dispositivos de la organización.Note: search results will only be returned for URLs observed in communications from devices in the organization.
  4. Use los filtros de búsqueda para definir los criterios de búsqueda.Use the search filters to define the search criteria. También puede usar el cuadro de búsqueda de escala de tiempo para filtrar los resultados mostrados de todos los dispositivos de la organización observados que se comunican con la dirección URL, el archivo asociado a la comunicación y la última fecha observada.You can also use the timeline search box to filter the displayed results of all devices in the organization observed communicating with the URL, the file associated with the communication and the last date observed.
  5. Hacer clic en cualquiera de los nombres de dispositivo te llevará a la vista de ese dispositivo, donde puedes seguir investigando alertas, comportamientos y eventos notificados.Clicking any of the device names will take you to that device's view, where you can continue investigate reported alerts, behaviors, and events.