Investigar um domínio associado a um alerta do Microsoft Defender para Ponto de ExtremidadeInvestigate a domain associated with a Microsoft Defender for Endpoint alert

Aplica-se a:Applies to:

Deseja experimentar o Defender para Ponto de Extremidade?Want to experience Defender for Endpoint? Inscreva-se para uma avaliação gratuita.Sign up for a free trial.

Investigue um domínio para ver se dispositivos e servidores em sua rede corporativa estão se comunicando com um domínio mal-intencionado conhecido.Investigate a domain to see if devices and servers in your enterprise network have been communicating with a known malicious domain.

Você pode investigar um domínio usando o recurso de pesquisa ou clicando em um link de domínio da linha do tempo do dispositivo.You can investigate a domain by using the search feature or by clicking on a domain link from the Device timeline.

Você pode ver informações das seções a seguir no exibição url:You can see information from the following sections in the URL view:

  • Detalhes da URL, Contatos, NameserversURL details, Contacts, Nameservers
  • Alertas relacionados a essa URLAlerts related to this URL
  • URL na organizaçãoURL in organization
  • Dispositivos observados mais recentes com URLMost recent observed devices with URL

URL em todo o mundoURL worldwide

A seção URL Worldwide lista a URL, um link para mais detalhes em Whois, o número de incidentes abertos relacionados e o número de alertas ativos.The URL Worldwide section lists the URL, a link to further details at Whois, the number of related open incidents, and the number of active alerts.

IncidenteIncident

O cartão Incident exibe um gráfico de barras de todos os alertas ativos em incidentes nos últimos 180 dias.The Incident card displays a bar chart of all active alerts in incidents over the past 180 days.

PrevalênciaPrevalence

O Cartão de Prevalência fornece detalhes sobre a prevalência da URL dentro da organização, por um período de tempo especificado.The Prevalence card provides details on the prevalence of the URL within the organization, over a specified period of time.

Embora o período de tempo padrão seja os últimos 30 dias, você pode personalizar o intervalo selecionando a seta apontando para baixo no canto do cartão.Although the default time period is the past 30 days, you can customize the range by selecting the downward-pointing arrow in the corner of the card. O intervalo mais curto disponível é para prevalência no último dia, enquanto o intervalo mais longo é nos últimos 6 meses.The shortest range available is for prevalence over the past day, while the longest range is over the past 6 months.

AlertasAlerts

A guia Alertas fornece uma lista de alertas associados à URL.The Alerts tab provides a list of alerts that are associated with the URL. A tabela mostrada aqui é uma versão filtrada dos alertas visíveis na tela de fila de alertas, mostrando apenas alertas associados ao domínio, sua gravidade, status, o incidente associado, classificação, estado de investigação e muito mais.The table shown here is a filtered version of the alerts visible on the Alert queue screen, showing only alerts associated with the domain, their severity, status, the associated incident, classification, investigation state, and more.

A guia Alertas pode ser ajustada para mostrar mais ou menos informações, selecionando Personalizar colunas no menu ação acima dos headers da coluna.The Alerts tab can be adjusted to show more or less information, by selecting Customize columns from the action menu above the column headers. O número de itens exibidos também pode ser ajustado selecionando itens por página no mesmo menu.The number of items displayed can also be adjusted, by selecting items per page on the same menu.

Observado na organizaçãoObserved in organization

A guia Observado na organização fornece uma exibição cronológica sobre os eventos e alertas associados que foram observados na URL.The Observed in organization tab provides a chronological view on the events and associated alerts that were observed on the URL. Essa guia inclui uma linha do tempo e um evento de listagem de tabela personalizável, como a hora, o dispositivo e uma breve descrição do que aconteceu.This tab includes a timeline and a customizable table listing event details, such as the time, device, and a brief description of what happened.

Você pode exibir eventos de diferentes períodos de tempo inserindo as datas nos campos de texto acima dos headers da tabela.You can view events from different periods of time by entering the dates into the text fields above the table headers. Você também pode personalizar o intervalo de tempo selecionando diferentes áreas da linha do tempo.You can also customize the time range by selecting different areas of the timeline.

Investigar um domínio:Investigate a domain:

  1. Selecione URL no menu suspenso barra de pesquisa.Select URL from the Search bar drop-down menu.
  2. Insira a URL no campo Pesquisa.Enter the URL in the Search field.
  3. Clique no ícone de pesquisa ou pressione Enter.Click the search icon or press Enter. Os detalhes sobre a URL são exibidos.Details about the URL are displayed. Observação: os resultados da pesquisa só serão retornados para URLs observadas nas comunicações de dispositivos na organização.Note: search results will only be returned for URLs observed in communications from devices in the organization.
  4. Use os filtros de pesquisa para definir os critérios de pesquisa.Use the search filters to define the search criteria. Você também pode usar a caixa de pesquisa linha do tempo para filtrar os resultados exibidos de todos os dispositivos na organização observados se comunicando com a URL, o arquivo associado à comunicação e a última data observada.You can also use the timeline search box to filter the displayed results of all devices in the organization observed communicating with the URL, the file associated with the communication and the last date observed.
  5. Clicar em qualquer um dos nomes de dispositivo o levará ao ponto de vista desse dispositivo, onde você pode continuar a investigar alertas, comportamentos e eventos relatados.Clicking any of the device names will take you to that device's view, where you can continue investigate reported alerts, behaviors, and events.