Udostępnij za pośrednictwem

Strona jednostki adresu IP w Microsoft Defender

  • Artykuł
  • Dotyczy:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Strona jednostki adresu IP w portalu Microsoft Defender pomaga zbadać możliwą komunikację między urządzeniami a adresami IP (External Internet Protocol).

Identyfikowanie wszystkich urządzeń w organizacji, które komunikowały się z podejrzanym lub znanym złośliwym adresem IP, takim jak serwery poleceń i kontroli (C2), pomaga określić potencjalny zakres naruszeń, skojarzonych plików i zainfekowanych urządzeń.

Informacje z następujących sekcji można znaleźć na stronie jednostki adresu IP:

Ważna

Microsoft Sentinel jest ogólnie dostępna w ramach ujednoliconej platformy operacji zabezpieczeń firmy Microsoft w portalu Microsoft Defender. W wersji zapoznawczej Microsoft Sentinel jest dostępna w portalu usługi Defender bez Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu Microsoft Defender.

Omówienie

W okienku po lewej stronie Przegląd przedstawiono podsumowanie szczegółów adresu IP (jeśli są dostępne).

Sekcja Szczegóły
Informacje zabezpieczające
  • Otwarte zdarzenia
  • Aktywne alerty
    		•
    Szczegóły adresu IP
  • Organizacja (ISP)
  • ASN
  • Kraj/region, Stan, Miasto
  • Przewoźnik
  • Szerokość i długość geograficzna
  • Kod pocztowy
    		•

    Po lewej stronie znajduje się również panel przedstawiający aktywność dziennika (czas po raz pierwszy widziany/ostatnio widziany, źródło danych) zebrany z kilku źródeł dzienników, a inny panel przedstawiający listę zarejestrowanych hostów zebranych z tabel pulsu agenta monitorowania platformy Azure.

    Główna treść strony Przegląd zawiera karty pulpitu nawigacyjnego przedstawiające liczbę zdarzeń i alertów (pogrupowanych według ważności) zawierających adres IP oraz wykres występowania adresu IP w organizacji w wskazanym okresie.

    Zdarzenia i alerty

    Strona Zdarzenia i alerty zawiera listę zdarzeń i alertów, które zawierają adres IP w ramach ich historii. Te zdarzenia i alerty pochodzą z dowolnego z wielu źródeł wykrywania Microsoft Defender, w tym, jeśli są dołączone, Microsoft Sentinel. Ta lista jest przefiltrowaną wersją kolejki zdarzeń i zawiera krótki opis zdarzenia lub alertu, jego ważność (wysoki, średni, niski, informacyjny), jego stan w kolejce (nowy, w toku, rozwiązany), jego klasyfikację (nie ustawiono, alert fałszywy, prawdziwy alert), stan badania, kategorię, która jest przypisana do jej rozwiązania, i ostatnie zaobserwowane działanie.

    Możesz dostosować kolumny wyświetlane dla każdego elementu. Alerty można również filtrować według ważności, stanu lub dowolnej innej kolumny na ekranie.

    Kolumna elementów zawartości, których dotyczy problem , odnosi się do wszystkich użytkowników, aplikacji i innych jednostek, do których odwołuje się zdarzenie lub alert.

    Po wybraniu zdarzenia lub alertu zostanie wyświetlony wysuwany komunikat. Z tego panelu możesz zarządzać zdarzeniem lub alertem i wyświetlać więcej szczegółów, takich jak numer zdarzenia/alertu i powiązane urządzenia. Jednocześnie można wybrać wiele alertów.

    Aby wyświetlić pełny widok strony zdarzenia lub alertu, wybierz jego tytuł.

    Obserwowane w organizacji

    Sekcja Obserwowane w organizacji zawiera listę urządzeń, które mają połączenie z tym adresem IP, oraz szczegóły ostatniego zdarzenia dla każdego urządzenia (lista jest ograniczona do 100 urządzeń).

    zdarzenia Sentinel

    Jeśli twoja organizacja dołączyła Microsoft Sentinel do portalu usługi Defender, ta dodatkowa karta znajduje się na stronie jednostki adresu IP. Ta karta importuje stronę jednostki IP z Microsoft Sentinel.

    oś czasu Sentinel

    Na tej osi czasu są wyświetlane alerty skojarzone z jednostką adresu IP. Te alerty obejmują te widoczne na karcie Zdarzenia i alerty oraz te utworzone przez Microsoft Sentinel ze źródeł danych innych firm, spoza firmy Microsoft.

    Ta oś czasu przedstawia również wyszukiwania z zakładkami z innych badań, które odwołują się do tej jednostki IP, zdarzenia aktywności ip z zewnętrznych źródeł danych i nietypowe zachowania wykryte przez reguły anomalii Microsoft Sentinel.

    Wyniki analizy

    Szczegółowe informacje o jednostkach to zapytania zdefiniowane przez badaczy zabezpieczeń firmy Microsoft, które ułatwiają wydajniejsze i wydajniejsze badanie. Te szczegółowe informacje automatycznie zadają ważne pytania dotyczące twojej jednostki IP, dostarczając cennych informacji o zabezpieczeniach w postaci danych tabelarycznych i wykresów. Szczegółowe informacje obejmują dane z różnych źródeł analizy zagrożeń IP, inspekcję ruchu sieciowego i inne oraz obejmują zaawansowane algorytmy uczenia maszynowego w celu wykrywania nietypowych zachowań.

    Poniżej przedstawiono niektóre z przedstawionych szczegółowych informacji:

    • Microsoft Defender Threat Intelligence reputację.
    • Łączny adres IP wirusa.
    • Zarejestrowano przyszły adres IP.
    • Anomali IP Address
    • AbuseIPDB.
    • Anomalie są liczone według adresu IP.
    • Inspekcja ruchu sieci.
    • Połączenia zdalne adresów IP z dopasowaniem TI.
    • Adres IP połączeń zdalnych.
    • Ten adres IP ma dopasowanie TI.
    • Szczegółowe informacje dotyczące listy obserwowanych (wersja zapoznawcza).

    Szczegółowe informacje są oparte na następujących źródłach danych:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Tożsamość Microsoft Entra)
    • SigninLogs (Tożsamość Microsoft Entra)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • Puls (agent usługi Azure Monitor)
    • CommonSecurityLog (Microsoft Sentinel)

    Jeśli chcesz dokładniej zapoznać się ze szczegółowymi informacjami w tym panelu, wybierz link towarzyszący analizie. Link prowadzi do strony Zaawansowane wyszukiwanie zagrożeń , na której jest wyświetlane zapytanie leżące u podstaw szczegółowych informacji wraz z jego nieprzetworzonymi wynikami. Możesz zmodyfikować zapytanie lub przejść do szczegółów wyników, aby rozwinąć badanie lub po prostu zaspokoić ciekawość.

    Akcje odpowiedzi

    Akcje reagowania oferują skróty do analizowania, badania i obrony przed zagrożeniami.

    Akcje odpowiedzi są uruchamiane w górnej części określonej strony jednostki IP i obejmują:

    Akcja Opis
    Dodawanie wskaźnika Otwiera kreatora dodawania tego adresu IP jako wskaźnika naruszenia zabezpieczeń (IoC) do bazy wiedzy analizy zagrożeń.
    Otwieranie ustawień adresu IP aplikacji w chmurze Otwiera ekran konfiguracji zakresów adresów IP, aby dodać do niego adres IP.
    Badanie w dzienniku aktywności Otwiera ekran dziennika aktywności platformy Microsoft 365, aby wyszukać adres IP w innych dziennikach.
    Go hunt Otwiera stronę Zaawansowane wyszukiwanie zagrożeń z wbudowanym zapytaniem wyszukiwania zagrożeń w celu znalezienia wystąpień tego adresu IP.

    Porada

    Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.