Microsoft Defenderの IP アドレス エンティティ ページ
Microsoft Defender ポータルの [IP アドレス エンティティ] ページは、デバイスと外部インターネット プロトコル (IP) アドレス間の通信の可能性を調べるのに役立ちます。
コマンド アンド コントロール (C2) サーバーなど、疑わしいまたは既知の悪意のある IP アドレスと通信したorganization内のすべてのデバイスを識別すると、侵害の可能性のある範囲、関連ファイル、感染したデバイスを特定するのに役立ちます。
IP アドレス エンティティ ページでは、次のセクションから情報を確認できます。
重要
Microsoft Sentinelは、Microsoft Defender ポータルの Microsoft の統合セキュリティ運用プラットフォーム内で一般公開されています。 プレビューの場合、Microsoft Sentinelは、Microsoft Defender XDRまたは E5 ライセンスなしで Defender ポータルで使用できます。 詳細については、Microsoft Defender ポータルの「Microsoft Sentinel」を参照してください。
概要
左側のウィンドウの [ 概要 ] ページには、IP の詳細の概要 (使用可能な場合) が表示されます。
| Section | 詳細 |
|---|---|
| セキュリティ情報 | |
| IP の詳細 |
左側には、複数のログ ソースから収集されたログ アクティビティ (最初に表示/最後に表示されたデータ ソース) を示すパネルと、Azure Monitoring Agent ハートビート テーブルから収集されたログに記録されたホストの一覧を示す別のパネルもあります。
[概要] ページのメイン本文には、IP アドレスを含むインシデントとアラートの数 (重大度別にグループ化) と、指定された期間のorganization内の IP アドレスの普及率のグラフを示すダッシュボード カードが含まれています。
インシデントと警告
[ インシデントとアラート ] ページには、ストーリーの一部として IP アドレスを含むインシデントとアラートの一覧が表示されます。 これらのインシデントとアラートは、オンボードされている場合、Microsoft Sentinelなど、多数のMicrosoft Defender検出ソースから取得されます。 この一覧は 、インシデント キューのフィルター処理されたバージョンであり、インシデントまたはアラートの簡単な説明、重大度 (高、中、低、情報)、キュー内の状態 (新規、進行中、解決済み)、その分類 (設定されていない、誤ったアラート、真のアラート)、調査状態、カテゴリ、それに対処するために割り当てられているユーザー、最後に観察されたアクティビティを示します。
各項目に表示する列をカスタマイズできます。 アラートは、重大度、状態、またはディスプレイ内の他の列でフィルター処理することもできます。
影響を受ける資産列は、インシデントまたはアラートで参照されるすべてのユーザー、アプリケーション、およびその他のエンティティを参照します。
インシデントまたはアラートが選択されると、ポップアップが表示されます。 このパネルでは、インシデントまたはアラートを管理し、インシデント/アラート番号や関連デバイスなどの詳細を表示できます。 一度に複数のアラートを選択できます。
インシデントまたはアラートの完全なページ ビューを表示するには、そのタイトルを選択します。
organizationで観察
[organizationで監視] セクションには、この IP に接続しているデバイスの一覧と、各デバイスの最後のイベントの詳細が表示されます (一覧は 100 デバイスに制限されています)。
Sentinel イベント
organizationが Defender ポータルにオンボードMicrosoft Sentinel場合、この追加タブは IP アドレス エンティティ ページにあります。 このタブは、Microsoft Sentinelから IP エンティティ ページをインポートします。
Sentinel タイムライン
このタイムラインには、IP アドレス エンティティに関連付けられているアラートが表示されます。 これらのアラートには、[インシデントとアラート] タブに表示されるアラートと、サード パーティの Microsoft 以外のデータ ソースからMicrosoft Sentinelによって作成されたものが含まれます。
このタイムラインには、この IP エンティティを参照する他の調査からのブックマークされたハント、外部データ ソースからの IP アクティビティ イベント、Microsoft Sentinelの異常ルールによって検出された異常な動作も表示されます。
分析情報
エンティティ分析情報は、より効率的かつ効果的に調査するのに役立つ、Microsoft セキュリティ研究者によって定義されたクエリです。 これらの分析情報は、IP エンティティに関する大きな質問を自動的に行い、表形式のデータとグラフの形式で貴重なセキュリティ情報を提供します。 分析情報には、さまざまな IP 脅威インテリジェンス ソースからのデータ、ネットワーク トラフィックの検査などが含まれます。また、異常な動作を検出するための高度な機械学習アルゴリズムが含まれます。
次に示す分析情報の一部を示します。
- Microsoft Defender 脅威インテリジェンス評判。
- ウイルスの合計 IP アドレス。
- 将来の IP アドレスを記録しました。
- Anomali IP アドレス
- AbuseIPDB。
- 異常は IP アドレス別にカウントされます。
- ネットワーク トラフィック検査。
- TI との IP アドレス リモート接続が一致します。
- IP アドレスリモート接続。
- この IP には TI 一致があります。
- ウォッチリストの分析情報 (プレビュー)。
分析情報は、次のデータ ソースに基づいています。
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (UEBA Microsoft Sentinel)
- ハートビート (Azure Monitor エージェント)
- CommonSecurityLog (Microsoft Sentinel)
このパネルのいずれかの分析情報をさらに調べる場合は、分析情報に付随するリンクを選択します。 リンクをクリックすると、[ 高度なハンティング ] ページが表示され、分析情報の基になるクエリとその生の結果が表示されます。 クエリを変更したり、結果をドリルダウンして調査を拡大したり、好奇心を満たしたりできます。
応答アクション
応答アクションには、脅威を分析、調査、防御するためのショートカットが用意されています。
応答アクションは、特定の IP エンティティ ページの上部に沿って実行され、次のものが含まれます。
| アクション | 説明 |
|---|---|
| インジケーターの追加 | ウィザードを開き、この IP アドレスを侵害インジケーター (IoC) として脅威インテリジェンス ナレッジ ベースに追加します。 |
| クラウド アプリの IP 設定を開く | IP アドレスを追加するための IP アドレス範囲の構成画面を開きます。 |
| アクティビティ ログで調査する | 他のログの IP アドレスを探すために、Microsoft 365 アクティビティ ログ画面を開きます。 |
| 検出する | この IP アドレスのインスタンスを検索するための組み込みのハンティング クエリを含む [高度な ハンティング] ページを開きます。 |
関連項目
- Microsoft Defender XDRの概要
- Microsoft Defender XDRを有効にする
- Microsoft Defenderの [デバイス エンティティ] ページ
- Microsoft Defenderの [ユーザー エンティティ] ページ
- Microsoft Defender XDRとMicrosoft Sentinelの統合
- Microsoft Sentinel を Microsoft Defender XDR に接続する
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。