مشاركة عبر

صفحة كيان عنوان IP في Microsoft Defender

  • مقالة
  • ينطبق على:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

تساعدك صفحة كيان عنوان IP في مدخل Microsoft Defender على فحص الاتصال المحتمل بين أجهزتك وعناوين بروتوكول الإنترنت الخارجي (IP).

يساعد تحديد جميع الأجهزة في المؤسسة التي اتصلت بعنوان IP ضار مشتبه به أو معروف، مثل خوادم الأوامر والتحكم (C2)، في تحديد النطاق المحتمل للخرق والملفات المرتبطة والأجهزة المصابة.

يمكنك العثور على معلومات من الأقسام التالية في صفحة كيان عنوان IP:

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

نظرة عامة

في الجزء الأيمن، توفر صفحة نظرة عامة ملخصا تفاصيل IP (إذا كانت متوفرة).

قسم التفاصيل
معلومات الأمان
  • فتح الحوادث
  • التنبيهات النشطة
    		•
    تفاصيل IP
  • المؤسسة (ISP)
  • ASN
  • البلد/المنطقة، الولاية، المدينة
  • حمال
  • خط العرض وخط الطول
  • التعليمات البرمجية البريدية
    		•

    يحتوي الجانب الأيسر أيضا على لوحة تعرض نشاط السجل (المرة الأولى التي شوهد فيها/آخر مرة، مصدر البيانات) الذي تم جمعه من عدة مصادر سجل، ولوحة أخرى تعرض قائمة بالمضيفين المسجلين الذين تم جمعهم من جداول رسالة كشف أخطاء الاتصال لعامل مراقبة Azure.

    يحتوي النص الأساسي لصفحة Overview على بطاقات لوحة معلومات تعرض عدد الحوادث والتنبيهات (مجمعة حسب الخطورة) التي تحتوي على عنوان IP، ومخططا لانتشار عنوان IP في المؤسسة خلال الفترة الزمنية المشار إليها.

    الحوادث والتنبيهات

    تعرض صفحة الحوادث والتنبيهات قائمة بالحوادث والتنبيهات التي تتضمن عنوان IP كجزء من قصتها. تأتي هذه الحوادث والتنبيهات من أي من عدد من مصادر الكشف عن Microsoft Defender، بما في ذلك Microsoft Sentinel، إذا تم إلحاقها. هذه القائمة هي نسخة تمت تصفيتها من قائمة انتظار الحوادث، وتعرض وصفا قصيرا للحادث أو التنبيه، وشدته (عالية، ومتوسطة، ومنخفضة، ومعلوماتية)، وحالتها في قائمة الانتظار (جديدة، قيد التقدم، تم حلها)، وتصنيفها (غير محدد، تنبيه خاطئ، تنبيه حقيقي)، حالة التحقيق، الفئة، من تم تعيينه لمعالجته، وآخر نشاط تمت ملاحظته.

    يمكنك تخصيص الأعمدة التي يتم عرضها لكل عنصر. يمكنك أيضا تصفية التنبيهات حسب الخطورة أو الحالة أو أي عمود آخر في جهاز العرض.

    يشير عمود الأصول المتأثرة إلى جميع المستخدمين والتطبيق والكيانات الأخرى المشار إليها في الحدث أو التنبيه.

    عند تحديد حادث أو تنبيه، تظهر قائمة منبثقة. من هذه اللوحة، يمكنك إدارة الحدث أو التنبيه وعرض مزيد من التفاصيل مثل رقم الحادث/التنبيه والأجهزة ذات الصلة. يمكن تحديد تنبيهات متعددة في كل مرة.

    لمشاهدة طريقة عرض صفحة كاملة لحادث أو تنبيه، حدد عنوانه.

    تمت ملاحظته في المؤسسة

    يوفر قسم المراقبة في المؤسسة قائمة بالأجهزة التي لديها اتصال ب IP هذا وتفاصيل الحدث الأخير لكل جهاز (تقتصر القائمة على 100 جهاز).

    أحداث Sentinel

    إذا قامت مؤسستك بإلحاق Microsoft Sentinel إلى مدخل Defender، فإن علامة التبويب الإضافية هذه موجودة في صفحة كيان عنوان IP. تستورد علامة التبويب هذه صفحة كيان IP من Microsoft Sentinel.

    المخطط الزمني ل Sentinel

    يعرض هذا المخطط الزمني التنبيهات المقترنة بكيان عنوان IP. تتضمن هذه التنبيهات تلك التي تظهر في علامة التبويب الحوادث والتنبيهات وتلك التي تم إنشاؤها بواسطة Microsoft Sentinel من مصادر بيانات خارجية غير تابعة ل Microsoft.

    يعرض هذا المخطط الزمني أيضا عمليات البحث المرجعية من التحقيقات الأخرى التي تشير إلى كيان IP هذا، وأحداث نشاط IP من مصادر البيانات الخارجية، والسلوكيات غير العادية التي تم اكتشافها بواسطة قواعد الشذوذ في Microsoft Sentinel.

    البصائر

    رؤى الكيان هي استعلامات يحددها باحثو أمان Microsoft لمساعدتك في التحقيق بشكل أكثر كفاءة وفعالية. تطرح هذه الرؤى تلقائيا الأسئلة الكبيرة حول كيان IP الخاص بك، ما يوفر معلومات أمان قيمة في شكل بيانات ومخططات جدولية. تتضمن الرؤى بيانات من مصادر التحليل الذكي للمخاطر IP المختلفة، وفحص نسبة استخدام الشبكة، والمزيد، وتتضمن خوارزميات التعلم الآلي المتقدمة للكشف عن السلوك الشاذ.

    فيما يلي بعض الرؤى المعروضة:

    • سمعة Microsoft Defender Threat Intelligence.
    • عنوان IP الإجمالي للفيروسات.
    • عنوان IP المستقبلي المسجل.
    • عنوان IP غير المألوف
    • AbuseIPDB.
    • عدد الحالات الشاذة حسب عنوان IP.
    • فحص نسبة استخدام الشبكة.
    • اتصالات عنوان IP عن بعد مع تطابق TI.
    • اتصالات عنوان IP عن بعد.
    • يحتوي عنوان IP هذا على تطابق TI.
    • نتائج تحليلات قائمة المشاهدة (معاينة).

    تستند الرؤى إلى مصادر البيانات التالية:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (معرف Microsoft Entra)
    • SigninLogs (معرف Microsoft Entra)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • رسالة كشف أخطاء الاتصال (عامل Azure Monitor)
    • CommonSecurityLog (Microsoft Sentinel)

    إذا كنت ترغب في استكشاف أي من الرؤى في هذه اللوحة، فحدد الارتباط المصاحب للرؤى. ينقلك الارتباط إلى صفحة التتبع المتقدم ، حيث يعرض الاستعلام الأساسي للرؤى، جنبا إلى جنب مع نتائجه الأولية. يمكنك تعديل الاستعلام أو التنقل لأسفل في النتائج لتوسيع التحقيق الخاص بك أو تلبية فضولك فقط.

    إجراءات الاستجابة

    توفر إجراءات الاستجابة اختصارات لتحليل التهديدات والتحقيق فيها والدفاع عنها.

    تعمل إجراءات الاستجابة على طول الجزء العلوي من صفحة كيان IP محددة وتتضمن:

    فعل الوصف
    إضافة مؤشر يفتح معالجا لك لإضافة عنوان IP هذا كمؤشر للتسوية (IoC) إلى قاعدة معارف التحليل الذكي للمخاطر.
    فتح إعدادات IP لتطبيق السحابة فتح شاشة تكوين نطاقات عناوين IP لإضافة عنوان IP إليها.
    التحقيق في سجل النشاط يفتح شاشة سجل نشاط Microsoft 365 للبحث عن عنوان IP في سجلات أخرى.
    Go hunt يفتح صفحة التتبع المتقدم ، مع استعلام تتبع مضمن للعثور على مثيلات عنوان IP هذا.

    تلميح

    هل تريد معرفة المزيد؟ التفاعل مع مجتمع أمان Microsoft في مجتمع التكنولوجيا لدينا: Microsoft Defender for Endpoint Tech Community.