Share via

Stránka entity IP adresy v Microsoft Defender

  • Článek
  • Platí pro:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Stránka entity IP adresy na portálu Microsoft Defender vám pomůže prozkoumat možnou komunikaci mezi zařízeními a externími IP adresami.

Identifikace všech zařízení v organizaci, která komunikovala s podezřelou nebo známou škodlivou IP adresou, jako jsou servery typu Command and Control (C2), pomáhá určit potenciální rozsah porušení zabezpečení, přidružené soubory a napadená zařízení.

Informace najdete v následujících částech na stránce entity IP adresy:

Důležité

Microsoft Sentinel je k dispozici jako součást verze Public Preview pro sjednocenou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Přehled

V levém podokně se na stránce Přehled zobrazí souhrn podrobností o IP adrese (pokud jsou k dispozici).

Oddíl Podrobnosti
Bezpečnostní údaje
  • Otevřené incidenty
  • Aktivní výstrahy
    		•
    Podrobnosti o IP adrese
  • Organizace (ISP)
  • ASN
  • Země/oblast, stát, město
  • Dopravce
  • Zeměpisná šířka a zeměpisná délka
  • Psč
    		•

    Na levé straně je také panel zobrazující aktivitu protokolu (čas prvního zobrazení nebo poslední zobrazení, zdroj dat) shromážděnou z několika zdrojů protokolů a další panel zobrazující seznam protokolovaných hostitelů shromážděných z tabulek prezenčních signálů agenta monitorování Azure.

    Hlavní text stránky Přehled obsahuje karty řídicího panelu zobrazující počet incidentů a výstrah (seskupených podle závažnosti) obsahující IP adresu a graf výskytu IP adresy v organizaci za uvedené časové období.

    Incidenty a výstrahy

    Na stránce Incidenty a výstrahy se zobrazuje seznam incidentů a výstrah, které obsahují IP adresu jako součást jejich scénáře. Tyto incidenty a výstrahy pocházejí z libovolného z řady Microsoft Defender zdrojů detekce, včetně služby Microsoft Sentinel(pokud je nasazená). Tento seznam je filtrovanou verzí fronty incidentů a zobrazuje krátký popis incidentu nebo upozornění, jeho závažnost (vysoká, střední, nízká, informační), stav ve frontě (nový, probíhající, vyřešený), jeho klasifikaci (nenastavené, nepravdivé upozornění, skutečné upozornění), stav šetření, kategorii, kdo je přiřazen k jeho řešení a poslední zjištěná aktivita.

    Můžete přizpůsobit, které sloupce se pro každou položku zobrazí. Výstrahy můžete také filtrovat podle závažnosti, stavu nebo libovolného jiného sloupce v zobrazení.

    Sloupec ovlivněných prostředků odkazuje na všechny uživatele, aplikace a další entity, na které se v incidentu nebo upozornění odkazuje.

    Když vyberete incident nebo výstrahu, zobrazí se informační panel. Na tomto panelu můžete incident nebo výstrahu spravovat a zobrazit další podrobnosti, jako je číslo incidentu nebo výstrahy a související zařízení. Najednou je možné vybrat více výstrah.

    Pokud chcete zobrazit celé zobrazení incidentu nebo upozornění, vyberte jeho název.

    Pozorované v organizaci

    Oddíl Pozorovaný v organizaci obsahuje seznam zařízení, která mají připojení k této IP adrese, a podrobnosti o poslední události pro každé zařízení (seznam je omezený na 100 zařízení).

    Události služby Sentinel

    Pokud vaše organizace nasadila Službu Microsoft Sentinel na portál Defender, je tato další karta na stránce entity IP adresy. Tato karta importuje stránku entity IP adresy ze služby Microsoft Sentinel.

    Časová osa služby Sentinel

    Tato časová osa zobrazuje výstrahy přidružené k entitě IP adresy. Mezi tyto výstrahy patří výstrahy, které se zobrazují na kartě Incidenty a výstrahy, a výstrahy vytvořené službou Microsoft Sentinel ze zdrojů dat třetích stran, které nejsou zdroji dat microsoftu.

    Tato časová osa také zobrazuje vyhledávání v záložkách z jiných šetření, která odkazují na tuto entitu IP adresy, události aktivit PROTOKOLU IP z externích zdrojů dat a neobvyklé chování zjištěné pravidly anomálií služby Microsoft Sentinel.

    Postřehy

    Přehledy entit jsou dotazy definované výzkumnými pracovníky microsoftu v oblasti zabezpečení, které vám pomůžou zkoumat efektivněji a efektivněji. Tyto přehledy se automaticky ptají na velké otázky týkající se vaší entity IP adres a poskytují cenné informace o zabezpečení ve formě tabulkových dat a grafů. Tyto přehledy zahrnují data z různých zdrojů analýzy hrozeb IP, kontrolu síťového provozu a další a zahrnují pokročilé algoritmy strojového učení pro detekci neobvyklého chování.

    Tady jsou některé z zobrazených přehledů:

    • Analýza hrozeb v programu Microsoft Defender reputaci.
    • Ip adresa viru celkem.
    • Zaznamenaná budoucí IP adresa.
    • IP adresa anomálií
    • AbuseIPDB.
    • Anomálie se počítají podle IP adresy.
    • Kontrola síťového provozu.
    • Ip adresa vzdálená připojení s TI se shodují.
    • Ip adresa vzdálená připojení.
    • Tato IP adresa má shodu TI.
    • Přehledy seznamu ke zhlédnutí (Preview)

    Přehledy jsou založené na následujících zdrojích dat:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra ID)
    • SigninLogs (Microsoft Entra ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • Prezenčních signálů (agent Služby Azure Monitor)
    • CommonSecurityLog (Microsoft Sentinel)

    Pokud chcete dál prozkoumat některý z přehledů na tomto panelu, vyberte odkaz, který je k tomuto přehledu připojený. Odkaz vás přesedne na stránku rozšířeného proaktivního vyhledávání , kde se zobrazí dotaz, na kterém je podkladový přehled a jeho nezpracované výsledky. Můžete upravit dotaz nebo přejít k podrobnostem výsledků a rozšířit tak šetření nebo jen uspokojit vaši zvědavost.

    Akce odpovědí

    Akce odpovědí nabízejí klávesové zkratky pro analýzu, zkoumání a ochranu před hrozbami.

    Akce odpovědi se spouštějí v horní části stránky konkrétní entity IP a zahrnují:

    Akce Popis
    Přidat indikátor Otevře průvodce, který vám umožní přidat tuto IP adresu jako indikátor ohrožení zabezpečení (IoC) do znalostní báze analýzy hrozeb.
    Otevření nastavení IP adresy cloudové aplikace Otevře obrazovku konfigurace rozsahů IP adres, do které můžete přidat IP adresu.
    Zkoumání v protokolu aktivit Otevře obrazovku protokolu aktivit Microsoftu 365, kde můžete vyhledat IP adresu v jiných protokolech.
    Běžte lovit Otevře stránku Rozšířené proaktivní vyhledávání s integrovaným dotazem proaktivního vyhledávání, který vyhledá instance této IP adresy.

    Tip

    Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.