صفحة كيان عنوان IP في Microsoft Defender
تساعدك صفحة كيان عنوان IP في مدخل Microsoft Defender على فحص الاتصال المحتمل بين أجهزتك وعناوين بروتوكول الإنترنت الخارجي (IP).
يساعد تحديد جميع الأجهزة في المؤسسة التي اتصلت بعنوان IP ضار مشتبه به أو معروف، مثل خوادم الأوامر والتحكم (C2)، في تحديد النطاق المحتمل للخرق والملفات المرتبطة والأجهزة المصابة.
يمكنك العثور على معلومات من الأقسام التالية في صفحة كيان عنوان IP:
هام
تتوفر Microsoft Sentinel بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. للمعاينة، يتوفر Microsoft Sentinel في مدخل Defender دون Microsoft Defender XDR أو ترخيص E5. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
في الجزء الأيمن، توفر صفحة نظرة عامة ملخصا تفاصيل IP (إذا كانت متوفرة).
قسم | التفاصيل |
---|---|
معلومات الأمان | |
تفاصيل IP |
يحتوي الجانب الأيسر أيضا على لوحة تعرض نشاط السجل (المرة الأولى التي شوهد فيها/آخر مرة، مصدر البيانات) الذي تم جمعه من عدة مصادر سجل، ولوحة أخرى تعرض قائمة بالمضيفين المسجلين الذين تم جمعهم من جداول رسالة كشف أخطاء الاتصال لعامل مراقبة Azure.
يحتوي النص الأساسي لصفحة Overview على بطاقات لوحة معلومات تعرض عدد الحوادث والتنبيهات (مجمعة حسب الخطورة) التي تحتوي على عنوان IP، ومخططا لانتشار عنوان IP في المؤسسة خلال الفترة الزمنية المشار إليها.
تعرض صفحة الحوادث والتنبيهات قائمة بالحوادث والتنبيهات التي تتضمن عنوان IP كجزء من قصتها. تأتي هذه الحوادث والتنبيهات من أي من عدد من مصادر الكشف Microsoft Defender، بما في ذلك، إذا تم إلحاقها، Microsoft Sentinel. هذه القائمة هي نسخة تمت تصفيتها من قائمة انتظار الحوادث، وتعرض وصفا قصيرا للحادث أو التنبيه، وشدته (عالية، ومتوسطة، ومنخفضة، ومعلوماتية)، وحالتها في قائمة الانتظار (جديدة، قيد التقدم، تم حلها)، وتصنيفها (غير محدد، تنبيه خاطئ، تنبيه حقيقي)، حالة التحقيق، الفئة، من تم تعيينه لمعالجته، وآخر نشاط تمت ملاحظته.
يمكنك تخصيص الأعمدة التي يتم عرضها لكل عنصر. يمكنك أيضا تصفية التنبيهات حسب الخطورة أو الحالة أو أي عمود آخر في جهاز العرض.
يشير عمود الأصول المتأثرة إلى جميع المستخدمين والتطبيق والكيانات الأخرى المشار إليها في الحدث أو التنبيه.
عند تحديد حادث أو تنبيه، تظهر قائمة منبثقة. من هذه اللوحة، يمكنك إدارة الحدث أو التنبيه وعرض مزيد من التفاصيل مثل رقم الحادث/التنبيه والأجهزة ذات الصلة. يمكن تحديد تنبيهات متعددة في كل مرة.
لمشاهدة طريقة عرض صفحة كاملة لحادث أو تنبيه، حدد عنوانه.
يوفر قسم المراقبة في المؤسسة قائمة بالأجهزة التي لديها اتصال ب IP هذا وتفاصيل الحدث الأخير لكل جهاز (تقتصر القائمة على 100 جهاز).
إذا قامت مؤسستك بإلحاق Microsoft Sentinel إلى مدخل Defender، فإن علامة التبويب الإضافية هذه موجودة في صفحة كيان عنوان IP. تستورد علامة التبويب هذه صفحة كيان IP من Microsoft Sentinel.
يعرض هذا المخطط الزمني التنبيهات المقترنة بكيان عنوان IP. تتضمن هذه التنبيهات تلك التي تظهر في علامة التبويب الحوادث والتنبيهات وتلك التي تم إنشاؤها بواسطة Microsoft Sentinel من مصادر بيانات خارجية غير تابعة ل Microsoft.
يعرض هذا المخطط الزمني أيضا عمليات البحث المرجعية من التحقيقات الأخرى التي تشير إلى كيان IP هذا، وأحداث نشاط IP من مصادر البيانات الخارجية، والسلوكيات غير العادية التي تم اكتشافها بواسطة قواعد Microsoft Sentinel الخارجة عن المألوف.
رؤى الكيان هي استعلامات يحددها باحثو أمان Microsoft لمساعدتك في التحقيق بشكل أكثر كفاءة وفعالية. تطرح هذه الرؤى تلقائيا الأسئلة الكبيرة حول كيان IP الخاص بك، ما يوفر معلومات أمان قيمة في شكل بيانات ومخططات جدولية. تتضمن الرؤى بيانات من مصادر التحليل الذكي للمخاطر IP المختلفة، وفحص نسبة استخدام الشبكة، والمزيد، وتتضمن خوارزميات التعلم الآلي المتقدمة للكشف عن السلوك الشاذ.
فيما يلي بعض الرؤى المعروضة:
- تحليل ذكي للمخاطر في Microsoft Defender السمعة
- عنوان IP الإجمالي للفيروسات.
- عنوان IP المستقبلي المسجل.
- عنوان IP غير المألوف
- AbuseIPDB.
- عدد الحالات الشاذة حسب عنوان IP.
- فحص نسبة استخدام الشبكة.
- اتصالات عنوان IP عن بعد مع تطابق TI.
- اتصالات عنوان IP عن بعد.
- يحتوي عنوان IP هذا على تطابق TI.
- نتائج تحليلات قائمة المشاهدة (معاينة).
تستند الرؤى إلى مصادر البيانات التالية:
- Syslog (Linux)
- SecurityEvent (Windows)
- سجلات التدقيق (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- رسالة كشف أخطاء الاتصال (عامل Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
إذا كنت ترغب في استكشاف أي من الرؤى في هذه اللوحة، فحدد الارتباط المصاحب للرؤى. ينقلك الارتباط إلى صفحة التتبع المتقدم ، حيث يعرض الاستعلام الأساسي للرؤى، جنبا إلى جنب مع نتائجه الأولية. يمكنك تعديل الاستعلام أو التنقل لأسفل في النتائج لتوسيع التحقيق الخاص بك أو تلبية فضولك فقط.
توفر إجراءات الاستجابة اختصارات لتحليل التهديدات والتحقيق فيها والدفاع عنها.
تعمل إجراءات الاستجابة على طول الجزء العلوي من صفحة كيان IP محددة وتتضمن:
فعل | الوصف |
---|---|
إضافة مؤشر | يفتح معالجا لك لإضافة عنوان IP هذا كمؤشر للتسوية (IoC) إلى قاعدة معارف التحليل الذكي للمخاطر. |
فتح إعدادات IP لتطبيق السحابة | فتح شاشة تكوين نطاقات عناوين IP لإضافة عنوان IP إليها. |
التحقيق في سجل النشاط | يفتح شاشة سجل نشاط Microsoft 365 للبحث عن عنوان IP في سجلات أخرى. |
Go hunt | يفتح صفحة التتبع المتقدم ، مع استعلام تتبع مضمن للعثور على مثيلات عنوان IP هذا. |
- نظرة عامة على Microsoft Defender XDR
- تشغيل Microsoft Defender XDR
- صفحة كيان الجهاز في Microsoft Defender
- صفحة كيان المستخدم في Microsoft Defender
- تكامل Microsoft Defender XDR مع Microsoft Sentinel
- توصيل Microsoft Sentinel بـ Microsoft Defender XDR
تلميح
هل تريد معرفة المزيد؟ Engage مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender لنقطة النهاية Tech Community.