Læs på engelsk

Del via


Enhedsside for IP-adresse i Microsoft Defender

Enhedssiden for IP-adressen på Microsoft Defender portalen hjælper dig med at undersøge mulig kommunikation mellem dine enheder og ip-adresser (ekstern internetprotokol).

Identificering af alle enheder i organisationen, der kommunikerer med en formodet eller kendt skadelig IP-adresse, f.eks. C2-servere (Command and Control), hjælper med at fastslå det potentielle omfang af brud, tilknyttede filer og inficerede enheder.

Du kan finde oplysninger fra følgende afsnit på siden med IP-adresseenhed:

Vigtigt

Microsoft Sentinel er generelt tilgængelig på Microsofts unified security operations-platform på Microsoft Defender-portalen. Som prøveversion er Microsoft Sentinel tilgængelig på Defender-portalen uden Microsoft Defender XDR eller en E5-licens. Du kan få flere oplysninger under Microsoft Sentinel på Microsoft Defender-portalen.

Oversigt

I venstre rude indeholder siden Oversigt en oversigt over IP-oplysninger (hvis de er tilgængelige).

Afsnit Detaljer
Sikkerhedsoplysninger
  • Åbne hændelser
  • Aktive beskeder
  • IP-oplysninger
  • Organisation (ISP)
  • ASN
  • Land/område, Stat, By
  • Transportør
  • Breddegrad og længdegrad
  • Postnummer
  • I venstre side er der også et panel, der viser Logaktivitet (tid, der først blev set/sidst set, datakilde), der er indsamlet fra flere logkilder, og et andet panel, der viser en liste over logførte værter, der er indsamlet fra Azure Monitoring Agent-impulstabeller.

    Hovedteksten på siden Oversigt indeholder dashboardkort, der viser antallet af hændelser og beskeder (grupperet efter alvorsgrad), der indeholder IP-adressen, og et diagram over forekomsten af IP-adressen i organisationen i den angivne tidsperiode.

    Hændelser og beskeder

    På siden Hændelser og beskeder vises en liste over hændelser og beskeder, der indeholder IP-adressen som en del af deres historie. Disse hændelser og beskeder kommer fra en række Microsoft Defender registreringskilder, herunder Microsoft Sentinel, hvis de onboardes. Denne liste er en filtreret version af hændelseskøen og viser en kort beskrivelse af hændelsen eller beskeden, dens alvorsgrad (høj, mellem, lav, oplysende), dens status i køen (ny, igangværende, løst), dens klassificering (ikke angivet, falsk besked, sand besked), undersøgelsestilstand, kategori, hvem der er tildelt til at løse den og seneste aktivitet, der er observeret.

    Du kan tilpasse, hvilke kolonner der vises for hvert element. Du kan også filtrere beskederne efter alvorsgrad, status eller en hvilken som helst anden kolonne i visningen.

    Kolonnen påvirkede aktiver refererer til alle de brugere, programmer og andre enheder, der henvises til i hændelsen eller beskeden.

    Når der er valgt en hændelse eller besked, vises der en fly-out. I dette panel kan du administrere hændelsen eller beskeden og få vist flere oplysninger, f.eks. hændelse/beskednummer og relaterede enheder. Der kan vælges flere beskeder ad gangen.

    Hvis du vil se en hel sidevisning af en hændelse eller besked, skal du vælge dens titel.

    Observeret i organisationen

    Afsnittet Observed in organization indeholder en liste over enheder, der har en forbindelse til denne IP og de sidste hændelsesoplysninger for hver enhed (listen er begrænset til 100 enheder).

    Sentinel hændelser

    Hvis din organisation har onboardet Microsoft Sentinel til Defender-portalen, findes denne ekstra fane på siden med IP-adresseobjektet. Under denne fane importeres IP-enhedssiden fra Microsoft Sentinel.

    Sentinel tidslinje

    Denne tidslinje viser beskeder, der er knyttet til IP-adresseobjektet. Disse beskeder omfatter dem, der vises under fanen Hændelser og beskeder, og dem, der oprettes af Microsoft Sentinel fra tredjepartsdatakilder, der ikke er Microsoft-datakilder.

    Denne tidslinje viser også bogmærker for jagter fra andre undersøgelser, der refererer til denne IP-enhed, IP-aktivitetshændelser fra eksterne datakilder og usædvanlig adfærd, der er registreret af Microsoft Sentinel' regler for uregelmæssigheder.

    Indsigt

    Objektindsigt er forespørgsler, der er defineret af Microsofts sikkerhedsforskere for at hjælpe dig med at undersøge mere effektivt og effektivt. Disse indsigter stiller automatisk de store spørgsmål om din IP-enhed, hvilket giver værdifulde sikkerhedsoplysninger i form af tabeldata og diagrammer. Indsigterne omfatter data fra forskellige IP-trusselsintelligenskilder, inspektion af netværkstrafik m.m. og omfatter avancerede algoritmer til maskinel indlæring for at registrere unormal adfærd.

    Følgende er nogle af de viste indsigter:

    • Microsoft Defender Threat Intelligence omdømme.
    • Samlet IP-adresse for virus.
    • Registreret fremtidig IP-adresse.
    • Anomali IP-adresse
    • AbuseIPDB.
    • Uregelmæssigheder tælles efter IP-adresse.
    • Inspektion af netværkstrafik.
    • Fjernforbindelser med IP-adresse med TI-match.
    • Fjernforbindelser til IP-adresse.
    • Denne IP-adresse har et TI-match.
    • Visningslisteindsigt (prøveversion).

    Indsigterne er baseret på følgende datakilder:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • Overvågningslogs (Microsoft Entra ID)
    • SigninLogs (Microsoft Entra ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • Impuls (Azure Monitor Agent)
    • CommonSecurityLog (Microsoft Sentinel)

    Hvis du vil udforske noget af indsigterne yderligere i dette panel, skal du vælge det link, der ledsager indsigten. Linket fører dig til siden Avanceret jagt , hvor den forespørgsel, der ligger til grund for indsigten, vises sammen med dens rå resultater. Du kan ændre forespørgslen eller analysere ned i resultaterne for at udvide din undersøgelse eller bare tilfredsstille din nysgerrighed.

    Svarhandlinger

    Svarhandlinger giver genveje til at analysere, undersøge og forsvare sig mod trusler.

    Svarhandlinger kører langs toppen af en bestemt IP-enhedsside og omfatter:

    Handling Beskrivelse
    Tilføj indikator Åbner en guide, hvor du kan føje denne IP-adresse som en IoC -indikator (Indicator of Compromise) til din videnbase om Trusselsintelligens.
    Åbn IP-indstillinger for cloudapps Åbner konfigurationsskærmen for IP-adresseområder, så du kan føje IP-adressen til den.
    Undersøg i aktivitetslog Åbner skærmen Microsoft 365 Activity log, hvor du kan søge efter IP-adressen i andre logge.
    Gå på jagt Åbner siden Avanceret jagt med en indbygget jagtforespørgsel for at finde forekomster af denne IP-adresse.

    Tip

    Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.