Teilen über


Seite "IP-Adressentität" in Microsoft Defender

Auf der Seite "IP-Adressentität" im Microsoft Defender-Portal können Sie die mögliche Kommunikation zwischen Ihren Geräten und externen IP-Adressen (Internet Protocol) untersuchen.

Die Identifizierung aller Geräte in der Organisation, die mit einer vermuteten oder bekannten schädlichen IP-Adresse kommuniziert haben, wie z. B. Befehls- und Steuerungsserver (C2), hilft bei der Ermittlung des potenziellen Umfangs der Sicherheitsverletzung, der zugehörigen Dateien und infizierten Geräte.

Informationen finden Sie in den folgenden Abschnitten auf der Seite ip-Adressentität:

Wichtig

Microsoft Sentinel ist jetzt allgemein auf der Microsoft Unified Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Übersicht

Im linken Bereich enthält die Seite Übersicht eine Zusammenfassung der IP-Details (sofern verfügbar).

Abschnitt Details
Sicherheitsinformationen
  • Offene Vorfälle
  • Aktive Warnungen
  • IP-Details
  • Organisation (ISP)
  • ASN
  • Land/Region, Bundesland, Stadt
  • Träger
  • Breiten- und Längengrad
  • Postleitzahl
  • Auf der linken Seite befindet sich außerdem ein Bereich mit der Protokollaktivität (Zeitpunkt der ersten Anzeige/letzten Anzeige, Datenquelle), die aus mehreren Protokollquellen gesammelt wurden, und ein weiterer Bereich mit einer Liste der protokollierten Hosts, die aus Azure Monitoring Agent-Heartbeattabellen gesammelt wurden.

    Der Hauptteil der Übersichtsseite enthält Dashboardkarten mit einer Anzahl von Vorfällen und Warnungen (gruppiert nach Schweregrad), die die IP-Adresse enthalten, sowie ein Diagramm der Verbreitung der IP-Adresse in der Organisation im angegebenen Zeitraum.

    Vorfälle und Warnungen

    Auf der Seite Incidents and Alerts (Vorfälle und Warnungen ) wird eine Liste von Vorfällen und Warnungen angezeigt, die die IP-Adresse als Teil ihrer Geschichte enthalten. Diese Vorfälle und Warnungen stammen aus einer Reihe von Microsoft Defender-Erkennungsquellen, einschließlich, falls integriert, Microsoft Sentinel. Diese Liste ist eine gefilterte Version der Incidentwarteschlange und enthält eine kurze Beschreibung des Incidents oder der Warnung, seines Schweregrads (hoch, mittel, niedrig, informativ), seines Status in der Warteschlange (neu, in Bearbeitung, gelöst), seiner Klassifizierung (nicht festgelegt, falscher Warnung, wahrer Warnung), des Untersuchungsstatus, der Kategorie, der person zugewiesen ist, um ihn zu beheben, und der letzten beobachteten Aktivität.

    Sie können anpassen, welche Spalten für jedes Element angezeigt werden. Sie können die Warnungen auch nach Schweregrad, Status oder einer anderen Spalte in der Anzeige filtern.

    Die Spalte "Betroffener Ressourcen " bezieht sich auf alle Benutzer, Anwendungen und andere Entitäten, auf die in dem Incident oder der Warnung verwiesen wird.

    Wenn ein Incident oder eine Warnung ausgewählt wird, wird ein Flyout angezeigt. In diesem Bereich können Sie den Incident oder die Warnung verwalten und weitere Details anzeigen, z. B. Incident-/Warnungsnummer und zugehörige Geräte. Es können mehrere Warnungen gleichzeitig ausgewählt werden.

    Um eine vollständige Seitenansicht eines Incidents oder einer Warnung anzuzeigen, wählen Sie den Titel aus.

    In der Organisation beobachtet

    Der Abschnitt Beobachtet in organisation enthält eine Liste der Geräte, die über eine Verbindung mit dieser IP-Adresse verfügen, und die letzten Ereignisdetails für jedes Gerät (die Liste ist auf 100 Geräte beschränkt).

    Sentinel-Ereignisse

    Wenn Ihre Organisation Microsoft Sentinel in das Defender-Portal integriert hat, befindet sich diese zusätzliche Registerkarte auf der Seite ip-Adressentität. Diese Registerkarte importiert die IP-Entitätsseite aus Microsoft Sentinel.

    Sentinel-Zeitachse

    Auf dieser Zeitachse werden Warnungen angezeigt, die der IP-Adressentität zugeordnet sind. Zu diesen Warnungen gehören Warnungen, die auf der Registerkarte Incidents und Warnungen angezeigt werden, und die warnungen, die von Microsoft Sentinel aus Datenquellen von Drittanbietern erstellt wurden, die nicht von Microsoft stammen.

    Diese Zeitachse zeigt auch Mit Lesezeichen versehene Huntings aus anderen Untersuchungen, die auf diese IP-Entität verweisen, IP-Aktivitätsereignisse aus externen Datenquellen und ungewöhnliche Verhaltensweisen, die von den Anomalieregeln von Microsoft Sentinel erkannt wurden.

    Einblicke

    Entitätserkenntnisse sind Abfragen, die von Microsoft-Sicherheitsexperten definiert werden, damit Sie effizienter und effektiver untersuchen können. Diese Erkenntnisse stellen automatisch die großen Fragen zu Ihrer IP-Entität und liefern wertvolle Sicherheitsinformationen in Form von tabellarischen Daten und Diagrammen. Zu den Erkenntnissen gehören Daten aus verschiedenen IP-Threat Intelligence-Quellen, die Überprüfung des Netzwerkdatenverkehrs und mehr sowie erweiterte Machine Learning-Algorithmen zur Erkennung von anomalen Verhaltensweisen.

    Im Folgenden sind einige der gezeigten Erkenntnisse aufgeführt:

    • Microsoft Defender Threat Intelligence-Reputation.
    • Virus Gesamt-IP-Adresse.
    • Aufgezeichnete zukünftige IP-Adresse.
    • Anomali-IP-Adresse
    • AbuseIPDB.
    • Anomalieanzahl nach IP-Adresse.
    • Überprüfung des Netzwerkdatenverkehrs.
    • IP-Adress-Remoteverbindungen mit TI-Übereinstimmung.
    • Remoteverbindungen mit IP-Adressen.
    • Diese IP-Adresse hat eine TI-Übereinstimmung.
    • Watchlist-Erkenntnisse (Vorschau)

    Die Erkenntnisse basieren auf den folgenden Datenquellen:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra-ID)
    • SigninLogs (Microsoft Entra ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • Heartbeat (Azure Monitor-Agent)
    • CommonSecurityLog (Microsoft Sentinel)

    Wenn Sie die Erkenntnisse in diesem Bereich weiter untersuchen möchten, wählen Sie den Link aus, der die Erkenntnis begleitet. Über den Link gelangen Sie zur Seite Erweiterte Suche , auf der die Abfrage angezeigt wird, die der Erkenntnis zugrunde liegt, sowie die unformatierten Ergebnisse. Sie können die Abfrage ändern oder einen Drilldown in die Ergebnisse ausführen, um Ihre Untersuchung zu erweitern oder einfach Nur Ihre Neugier zu befriedigen.

    Antwortaktionen

    Reaktionsaktionen bieten Tastenkombinationen zum Analysieren, Untersuchen und Schützen von Bedrohungen.

    Antwortaktionen werden am oberen Rand einer bestimmten IP-Entitätsseite ausgeführt und umfassen Folgendes:

    Aktion Beschreibung
    Indikator hinzufügen Öffnet einen Assistenten zum Hinzufügen dieser IP-Adresse als Indikator für Gefährdung (Indicator of Compromise, IoC) zu Ihrer Threat Intelligence-Wissensdatenbank.
    Ip-Einstellungen für Cloud-Apps öffnen Öffnet den Konfigurationsbildschirm für IP-Adressbereiche, auf dem Sie die IP-Adresse hinzufügen können.
    Untersuchen im Aktivitätsprotokoll Öffnet den Microsoft 365-Aktivitätsprotokollbildschirm, auf dem Sie nach der IP-Adresse in anderen Protokollen suchen können.
    Suche starten Öffnet die Seite Erweiterte Suche mit einer integrierten Huntingabfrage, um Instanzen dieser IP-Adresse zu finden.

    Tipp

    Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.