Stránka entity IP adresy v Microsoft Defender
Stránka entity IP adresy na portálu Microsoft Defender vám pomůže prozkoumat možnou komunikaci mezi zařízeními a externími IP adresami.
Identifikace všech zařízení v organizaci, která komunikovala s podezřelou nebo známou škodlivou IP adresou, jako jsou servery typu Command and Control (C2), pomáhá určit potenciální rozsah porušení zabezpečení, přidružené soubory a napadená zařízení.
Informace najdete v následujících částech na stránce entity IP adresy:
Důležité
Microsoft Sentinel je obecně k dispozici v rámci sjednocené platformy operací zabezpečení společnosti Microsoft na portálu Microsoft Defender. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez Microsoft Defender XDR nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
V levém podokně se na stránce Přehled zobrazí souhrn podrobností o IP adrese (pokud jsou k dispozici).
Oddíl | Podrobnosti |
---|---|
Bezpečnostní údaje | |
Podrobnosti o IP adrese |
Na levé straně je také panel zobrazující aktivitu protokolu (čas prvního zobrazení nebo poslední zobrazení, zdroj dat) shromážděnou z několika zdrojů protokolů a další panel zobrazující seznam protokolovaných hostitelů shromážděných z tabulek prezenčních signálů agenta monitorování Azure.
Hlavní text stránky Přehled obsahuje karty řídicího panelu zobrazující počet incidentů a výstrah (seskupených podle závažnosti) obsahující IP adresu a graf výskytu IP adresy v organizaci za uvedené časové období.
Na stránce Incidenty a výstrahy se zobrazuje seznam incidentů a výstrah, které obsahují IP adresu jako součást jejich scénáře. Tyto incidenty a výstrahy pocházejí z libovolného počtu zdrojů detekce Microsoft Defender, včetně Microsoft Sentinel, pokud jsou nasazené. Tento seznam je filtrovanou verzí fronty incidentů a zobrazuje krátký popis incidentu nebo upozornění, jeho závažnost (vysoká, střední, nízká, informační), stav ve frontě (nový, probíhající, vyřešený), jeho klasifikaci (nenastavené, nepravdivé upozornění, skutečné upozornění), stav šetření, kategorii, kdo je přiřazen k jeho řešení a poslední zjištěná aktivita.
Můžete přizpůsobit, které sloupce se pro každou položku zobrazí. Výstrahy můžete také filtrovat podle závažnosti, stavu nebo libovolného jiného sloupce v zobrazení.
Sloupec ovlivněných prostředků odkazuje na všechny uživatele, aplikace a další entity, na které se v incidentu nebo upozornění odkazuje.
Když vyberete incident nebo výstrahu, zobrazí se informační panel. Na tomto panelu můžete incident nebo výstrahu spravovat a zobrazit další podrobnosti, jako je číslo incidentu nebo výstrahy a související zařízení. Najednou je možné vybrat více výstrah.
Pokud chcete zobrazit celé zobrazení incidentu nebo upozornění, vyberte jeho název.
Oddíl Pozorovaný v organizaci obsahuje seznam zařízení, která mají připojení k této IP adrese, a podrobnosti o poslední události pro každé zařízení (seznam je omezený na 100 zařízení).
Pokud vaše organizace nasadila Microsoft Sentinel na portál Defender, je tato další karta na stránce entity IP adresy. Tato karta importuje stránku entity IP z Microsoft Sentinel.
Tato časová osa zobrazuje výstrahy přidružené k entitě IP adresy. Mezi tyto výstrahy patří výstrahy, které se zobrazují na kartě Incidenty a výstrahy, a výstrahy vytvořené Microsoft Sentinel ze zdrojů dat třetích stran, které nejsou od Microsoftu.
Na této časové ose jsou také zobrazena záložková vyhledávání z jiných šetření, která odkazují na tuto entitu IP adresy, události aktivit PROTOKOLU IP z externích zdrojů dat a neobvyklé chování zjištěné pravidly anomálií Microsoft Sentinel.
Přehledy entit jsou dotazy definované výzkumnými pracovníky microsoftu v oblasti zabezpečení, které vám pomůžou zkoumat efektivněji a efektivněji. Tyto přehledy se automaticky ptají na velké otázky týkající se vaší entity IP adres a poskytují cenné informace o zabezpečení ve formě tabulkových dat a grafů. Tyto přehledy zahrnují data z různých zdrojů analýzy hrozeb IP, kontrolu síťového provozu a další a zahrnují pokročilé algoritmy strojového učení pro detekci neobvyklého chování.
Tady jsou některé z zobrazených přehledů:
- Analýza hrozeb v programu Microsoft Defender reputaci.
- Ip adresa viru celkem.
- Zaznamenaná budoucí IP adresa.
- IP adresa anomálií
- AbuseIPDB.
- Anomálie se počítají podle IP adresy.
- Kontrola síťového provozu.
- Ip adresa vzdálená připojení s TI se shodují.
- Ip adresa vzdálená připojení.
- Tato IP adresa má shodu TI.
- Přehledy seznamu ke zhlédnutí (Preview)
Přehledy jsou založené na následujících zdrojích dat:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Prezenčních signálů (agent Služby Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Pokud chcete dál prozkoumat některý z přehledů na tomto panelu, vyberte odkaz, který je k tomuto přehledu připojený. Odkaz vás přesedne na stránku rozšířeného proaktivního vyhledávání , kde se zobrazí dotaz, na kterém je podkladový přehled a jeho nezpracované výsledky. Můžete upravit dotaz nebo přejít k podrobnostem výsledků a rozšířit tak šetření nebo jen uspokojit vaši zvědavost.
Akce odpovědí nabízejí klávesové zkratky pro analýzu, zkoumání a ochranu před hrozbami.
Akce odpovědi se spouštějí v horní části stránky konkrétní entity IP a zahrnují:
Akce | Popis |
---|---|
Přidat indikátor | Otevře průvodce, který vám umožní přidat tuto IP adresu jako indikátor ohrožení zabezpečení (IoC) do znalostní báze analýzy hrozeb. |
Otevření nastavení IP adresy cloudové aplikace | Otevře obrazovku konfigurace rozsahů IP adres, do které můžete přidat IP adresu. |
Zkoumání v protokolu aktivit | Otevře obrazovku protokolu aktivit Microsoftu 365, kde můžete vyhledat IP adresu v jiných protokolech. |
Běžte lovit | Otevře stránku Rozšířené proaktivní vyhledávání s integrovaným dotazem proaktivního vyhledávání, který vyhledá instance této IP adresy. |
- přehled Microsoft Defender XDR
- Zapnutí Microsoft Defender XDR
- Stránka entity zařízení v Microsoft Defender
- Stránka entity uživatele v Microsoft Defender
- Microsoft Defender XDR integrace s Microsoft Sentinel
- Připojení služby Microsoft Sentinel k Microsoft Defender XDR
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.