Página de entidade de endereço IP no Microsoft Defender
A página da entidade endereço IP no portal do Microsoft Defender ajuda-o a examinar uma possível comunicação entre os seus dispositivos e endereços IP (protocolo IP) externos.
Identificar todos os dispositivos na organização que comunicaram com um endereço IP malicioso suspeito ou conhecido, como servidores de Comando e Controlo (C2), ajuda a determinar o âmbito potencial de violação, ficheiros associados e dispositivos infetados.
Pode encontrar informações das seguintes secções na página da entidade endereço IP:
Importante
Microsoft Sentinel está geralmente disponível na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para pré-visualização, Microsoft Sentinel está disponível no portal do Defender sem Microsoft Defender XDR ou uma licença E5. Para obter mais informações, veja Microsoft Sentinel no portal do Microsoft Defender.
Visão Geral
No painel esquerdo, a página Descrição geral fornece um resumo dos detalhes do IP (se disponível).
Seção | Detalhes |
---|---|
Informações de segurança | |
Detalhes do IP |
O lado esquerdo também tem um painel que mostra a Atividade de registo (hora vista/vista pela última vez, origem de dados) recolhida de várias origens de registo e outro painel que mostra uma lista de anfitriões registados recolhidos a partir de tabelas de heartbeat do Agente de Monitorização do Azure.
O corpo main da página Descrição Geral contém dashboard cartões que mostram uma contagem de incidentes e alertas (agrupados por gravidade) que contêm o endereço IP e um gráfico da prevalência do endereço IP na organização durante o período de tempo indicado.
Incidentes e alertas
A página Incidentes e alertas mostra uma lista de incidentes e alertas que incluem o endereço IP como parte da respetiva história. Estes incidentes e alertas provêm de uma série de origens de deteção de Microsoft Defender, incluindo, se integrados, Microsoft Sentinel. Esta lista é uma versão filtrada da fila de incidentes e mostra uma breve descrição do incidente ou alerta, a sua gravidade (alto, médio, baixo, informativo), o seu status na fila (novo, em curso, resolvido), a classificação (não definido, alerta falso, alerta verdadeiro), estado de investigação, categoria, quem está atribuído para o resolver e última atividade observada.
Pode personalizar as colunas que são apresentadas para cada item. Também pode filtrar os alertas por gravidade, status ou qualquer outra coluna no ecrã.
A coluna recursos afetados refere-se a todos os utilizadores, aplicações e outras entidades referenciadas no incidente ou alerta.
Quando um incidente ou alerta é selecionado, é apresentada uma lista de opções. A partir deste painel, pode gerir o incidente ou o alerta e ver mais detalhes, como o número de incidente/alerta e dispositivos relacionados. Podem ser selecionados vários alertas de cada vez.
Para ver uma vista de página inteira de um incidente ou alerta, selecione o respetivo título.
Observado na organização
A secção Observado na organização fornece uma lista de dispositivos que têm uma ligação com este IP e os últimos detalhes do evento para cada dispositivo (a lista está limitada a 100 dispositivos).
Sentinel eventos
Se a sua organização tiver integrado Microsoft Sentinel no portal do Defender, este separador adicional encontra-se na página da entidade endereço IP. Este separador importa a página da entidade IP de Microsoft Sentinel.
Sentinel linha do tempo
Este linha do tempo mostra os alertas associados à entidade de endereço IP. Estes alertas incluem os visualizados no separador Incidentes e alertas e os criados por Microsoft Sentinel de origens de dados de terceiros e não da Microsoft.
Este linha do tempo também mostra as caçadas com marcadores de outras investigações que referenciam esta entidade IP, eventos de atividade IP de origens de dados externas e comportamentos invulgares detetados pelas regras de anomalias de Microsoft Sentinel.
Insights
As informações de entidades são consultas definidas pelos investigadores de segurança da Microsoft para o ajudar a investigar de forma mais eficiente e eficaz. Estas informações colocam automaticamente as grandes questões sobre a sua entidade IP, fornecendo informações de segurança valiosas sob a forma de dados e gráficos tabulares. As informações incluem dados de várias origens de informações sobre ameaças de IP, inspeção de tráfego de rede e muito mais, e incluem algoritmos de machine learning avançados para detetar comportamentos anómalos.
Seguem-se algumas das informações apresentadas:
- Informações sobre Ameaças do Microsoft Defender reputação.
- Endereço IP Total de Vírus.
- Endereço IP Futuro Registado.
- Endereço IP Anomali
- AbuseIPDB.
- Contagem de anomalias por endereço IP.
- Inspeção de tráfego de rede.
- As ligações remotas de endereços IP com TI correspondem.
- Ligações remotas de endereços IP.
- Este IP tem uma correspondência de TI.
- Informações da lista de observação (Pré-visualização).
As informações baseiam-se nas seguintes origens de dados:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Agente do Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Se quiser explorar mais aprofundadamente qualquer uma das informações neste painel, selecione a ligação que acompanha as informações. A ligação direciona-o para a página Investigação avançada , onde apresenta a consulta subjacente às informações, juntamente com os respetivos resultados não processados. Pode modificar a consulta ou desagregar os resultados para expandir a investigação ou apenas satisfazer a sua curiosidade.
Ações de resposta
As ações de resposta oferecem atalhos para analisar, investigar e defender contra ameaças.
As ações de resposta são executadas na parte superior de uma página de entidade IP específica e incluem:
Ação | Descrição |
---|---|
Adicionar indicador | Abre um assistente para adicionar este endereço IP como um Indicador de Compromisso (IoC) à sua base de dados de conhecimento das Informações sobre Ameaças. |
Abrir as definições de IP da aplicação na cloud | Abre o ecrã de configuração dos intervalos de endereços IP para adicionar o endereço IP ao mesmo. |
Investigar no Registo de atividades | Abre o ecrã registo de Atividades do Microsoft 365 para procurar o endereço IP noutros registos. |
Ir à caça | Abre a página Investigação avançada , com uma consulta de investigação incorporada para encontrar instâncias deste endereço IP. |
Tópicos relacionados
- descrição geral do Microsoft Defender XDR
- Ativar Microsoft Defender XDR
- Página entidade do dispositivo no Microsoft Defender
- Página entidade de utilizador no Microsoft Defender
- Microsoft Defender XDR integração com Microsoft Sentinel
- Conectar o Microsoft Sentinel ao Microsoft Defender XDR
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.