Enhedsside for IP-adresse i Microsoft Defender
Enhedssiden for IP-adressen på Microsoft Defender-portalen hjælper dig med at undersøge mulig kommunikation mellem dine enheder og eksterne IP-adresser (Internet Protocol).
Identificering af alle enheder i organisationen, der kommunikerer med en formodet eller kendt skadelig IP-adresse, f.eks. C2-servere (Command and Control), hjælper med at fastslå det potentielle omfang af brud, tilknyttede filer og inficerede enheder.
Du kan finde oplysninger fra følgende afsnit på siden med IP-adresseenhed:
Vigtigt!
Microsoft Sentinel er nu offentlig tilgængelig på Microsoft Unified Security Operations-platformen på Microsoft Defender-portalen. Du kan få flere oplysninger under Microsoft Sentinel på Microsoft Defender-portalen.
Oversigt
I venstre rude indeholder siden Oversigt en oversigt over IP-oplysninger (hvis de er tilgængelige).
Afsnit | Detaljer |
---|---|
Sikkerhedsoplysninger | |
IP-oplysninger |
I venstre side er der også et panel, der viser Logaktivitet (tid, der først blev set/sidst set, datakilde), der er indsamlet fra flere logkilder, og et andet panel, der viser en liste over logførte værter, der er indsamlet fra Azure Monitoring Agent-impulstabeller.
Hovedteksten på siden Oversigt indeholder dashboardkort, der viser antallet af hændelser og beskeder (grupperet efter alvorsgrad), der indeholder IP-adressen, og et diagram over forekomsten af IP-adressen i organisationen i den angivne tidsperiode.
Hændelser og beskeder
På siden Hændelser og beskeder vises en liste over hændelser og beskeder, der indeholder IP-adressen som en del af deres historie. Disse hændelser og beskeder kommer fra en række Microsoft Defender-registreringskilder, herunder Microsoft Sentinel, hvis de er onboardet. Denne liste er en filtreret version af hændelseskøen og viser en kort beskrivelse af hændelsen eller beskeden, dens alvorsgrad (høj, mellem, lav, oplysende), dens status i køen (ny, igangværende, løst), dens klassificering (ikke angivet, falsk besked, sand besked), undersøgelsestilstand, kategori, hvem der er tildelt til at løse den og seneste aktivitet, der er observeret.
Du kan tilpasse, hvilke kolonner der vises for hvert element. Du kan også filtrere beskederne efter alvorsgrad, status eller en hvilken som helst anden kolonne i visningen.
Kolonnen påvirkede aktiver refererer til alle de brugere, programmer og andre enheder, der henvises til i hændelsen eller beskeden.
Når der er valgt en hændelse eller besked, vises der en fly-out. I dette panel kan du administrere hændelsen eller beskeden og få vist flere oplysninger, f.eks. hændelse/beskednummer og relaterede enheder. Der kan vælges flere beskeder ad gangen.
Hvis du vil se en hel sidevisning af en hændelse eller besked, skal du vælge dens titel.
Observeret i organisationen
Afsnittet Observed in organization indeholder en liste over enheder, der har en forbindelse til denne IP og de sidste hændelsesoplysninger for hver enhed (listen er begrænset til 100 enheder).
Sentinel-hændelser
Hvis din organisation har onboardet Microsoft Sentinel til Defender-portalen, findes denne ekstra fane på siden med IP-adresseenhed. Under denne fane importeres IP-enhedssiden fra Microsoft Sentinel.
Sentinel-tidslinje
Denne tidslinje viser beskeder, der er knyttet til IP-adresseobjektet. Disse beskeder omfatter dem, der vises under fanen Hændelser og beskeder , og dem, der er oprettet af Microsoft Sentinel fra tredjepartsdatakilder, der ikke er Fra Microsoft.
Denne tidslinje viser også bogmærkede jagter fra andre undersøgelser, der refererer til denne IP-enhed, IP-aktivitetshændelser fra eksterne datakilder og usædvanlig adfærd, der er registreret af Microsoft Sentinels regler for uregelmæssigheder.
Indsigt
Objektindsigt er forespørgsler, der er defineret af Microsofts sikkerhedsforskere for at hjælpe dig med at undersøge mere effektivt og effektivt. Disse indsigter stiller automatisk de store spørgsmål om din IP-enhed, hvilket giver værdifulde sikkerhedsoplysninger i form af tabeldata og diagrammer. Indsigterne omfatter data fra forskellige IP-trusselsintelligenskilder, inspektion af netværkstrafik m.m. og omfatter avancerede algoritmer til maskinel indlæring for at registrere unormal adfærd.
Følgende er nogle af de viste indsigter:
- Microsoft Defender Threat Intelligence-omdømme.
- Samlet IP-adresse for virus.
- Registreret fremtidig IP-adresse.
- Anomali IP-adresse
- AbuseIPDB.
- Uregelmæssigheder tælles efter IP-adresse.
- Inspektion af netværkstrafik.
- Fjernforbindelser med IP-adresse med TI-match.
- Fjernforbindelser til IP-adresse.
- Denne IP-adresse har et TI-match.
- Visningslisteindsigt (prøveversion).
Indsigterne er baseret på følgende datakilder:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Impuls (Azure Monitor Agent)
- CommonSecurityLog (Microsoft Sentinel)
Hvis du vil udforske noget af indsigterne yderligere i dette panel, skal du vælge det link, der ledsager indsigten. Linket fører dig til siden Avanceret jagt , hvor den forespørgsel, der ligger til grund for indsigten, vises sammen med dens rå resultater. Du kan ændre forespørgslen eller analysere ned i resultaterne for at udvide din undersøgelse eller bare tilfredsstille din nysgerrighed.
Svarhandlinger
Svarhandlinger giver genveje til at analysere, undersøge og forsvare sig mod trusler.
Svarhandlinger kører langs toppen af en bestemt IP-enhedsside og omfatter:
Handling | Beskrivelse |
---|---|
Tilføj indikator | Åbner en guide, hvor du kan føje denne IP-adresse som en IoC -indikator (Indicator of Compromise) til din videnbase om Trusselsintelligens. |
Åbn IP-indstillinger for cloudapps | Åbner konfigurationsskærmen for IP-adresseområder, så du kan føje IP-adressen til den. |
Undersøg i aktivitetslog | Åbner skærmen Microsoft 365 Activity log, hvor du kan søge efter IP-adressen i andre logge. |
Gå på jagt | Åbner siden Avanceret jagt med en indbygget jagtforespørgsel for at finde forekomster af denne IP-adresse. |
Relaterede emner
- Oversigt over Microsoft Defender XDR
- Slå Microsoft Defender XDR til
- Enhedsenhedsside i Microsoft Defender
- Brugerenhedsside i Microsoft Defender
- Microsoft Defender XDR-integration med Microsoft Sentinel
- Forbind Microsoft Sentinel med Microsoft Defender XDR
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender for Endpoint Tech Community.