Auf Englisch lesen

Freigeben über


Seite "IP-Adressentität" in Microsoft Defender

Auf der Seite "IP-Adressentität" im Microsoft Defender-Portal können Sie die mögliche Kommunikation zwischen Ihren Geräten und externen IP-Adressen (Internet Protocol) untersuchen.

Die Identifizierung aller Geräte im organization, die mit einer mutmaßlichen oder bekannten schädlichen IP-Adresse kommuniziert haben, z. B. Befehls- und Steuerungsserver (C2), hilft bei der Ermittlung des potenziellen Umfangs der Sicherheitsverletzung, der zugehörigen Dateien und infizierten Geräte.

Informationen finden Sie in den folgenden Abschnitten auf der Seite ip-Adressentität:

Wichtig

Microsoft Sentinel ist allgemein auf der Unified Security Operations-Plattform von Microsoft im Microsoft Defender-Portal verfügbar. Für die Vorschauversion ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Übersicht

Im linken Bereich enthält die Seite Übersicht eine Zusammenfassung der IP-Details (sofern verfügbar).

Abschnitt Details
Sicherheitsinformationen
  • Offene Vorfälle
  • Aktive Warnungen
  • IP-Details
  • Organisation (ISP)
  • ASN
  • Land/Region, Bundesland, Stadt
  • Träger
  • Breiten- und Längengrad
  • Postleitzahl
  • Auf der linken Seite befindet sich außerdem ein Bereich mit der Protokollaktivität (Zeitpunkt der ersten Anzeige/letzten Anzeige, Datenquelle), die aus mehreren Protokollquellen gesammelt wurden, und ein weiterer Bereich mit einer Liste der protokollierten Hosts, die aus Azure Monitoring Agent-Heartbeattabellen gesammelt wurden.

    Der Standard Hauptteil der Übersichtsseite enthält Dashboard Karten mit einer Anzahl von Incidents und Warnungen (gruppiert nach Schweregrad), die die IP-Adresse enthalten, sowie ein Diagramm der Verbreitung der IP-Adresse im organization im angegebenen Zeitraum.

    Vorfälle und Warnungen

    Auf der Seite Incidents and Alerts (Vorfälle und Warnungen ) wird eine Liste von Vorfällen und Warnungen angezeigt, die die IP-Adresse als Teil ihrer Geschichte enthalten. Diese Vorfälle und Warnungen stammen aus einer Reihe von Microsoft Defender Erkennungsquellen, einschließlich, falls integriert, Microsoft Sentinel. Diese Liste ist eine gefilterte Version der Incidentwarteschlange und enthält eine kurze Beschreibung des Incidents oder der Warnung, seines Schweregrads (hoch, mittel, niedrig, informativ), seiner status in der Warteschlange (neu, in Bearbeitung, gelöst), seiner Klassifizierung (nicht festgelegt, falsch, true alert), des Untersuchungszustands, der Kategorie, der Person, die ihm zugewiesen ist, und der letzten beobachteten Aktivität.

    Sie können anpassen, welche Spalten für jedes Element angezeigt werden. Sie können die Warnungen auch nach Schweregrad, status oder einer anderen Spalte in der Anzeige filtern.

    Die Spalte "Betroffener Ressourcen " bezieht sich auf alle Benutzer, Anwendungen und andere Entitäten, auf die in dem Incident oder der Warnung verwiesen wird.

    Wenn ein Incident oder eine Warnung ausgewählt wird, wird ein Flyout angezeigt. In diesem Bereich können Sie den Incident oder die Warnung verwalten und weitere Details anzeigen, z. B. Incident-/Warnungsnummer und zugehörige Geräte. Es können mehrere Warnungen gleichzeitig ausgewählt werden.

    Um eine vollständige Seitenansicht eines Incidents oder einer Warnung anzuzeigen, wählen Sie den Titel aus.

    Beobachtet in organization

    Der Abschnitt Beobachtet in organization enthält eine Liste der Geräte, die über eine Verbindung mit dieser IP-Adresse verfügen, sowie die letzten Ereignisdetails für jedes Gerät (die Liste ist auf 100 Geräte beschränkt).

    Sentinel Ereignisse

    Wenn Ihr organization in das Defender-Portal integriert Microsoft Sentinel, befindet sich diese zusätzliche Registerkarte auf der Seite der IP-Adressentität. Diese Registerkarte importiert die IP-Entitätsseite aus Microsoft Sentinel.

    Sentinel Zeitleiste

    In diesem Zeitleiste werden Warnungen angezeigt, die der IP-Adressentität zugeordnet sind. Zu diesen Warnungen gehören Warnungen, die auf der Registerkarte Incidents und Warnungen angezeigt werden, sowie Warnungen, die von Microsoft Sentinel aus Datenquellen von Drittanbietern erstellt wurden, die nicht von Microsoft stammen.

    Dieses Zeitleiste zeigt auch Mit Lesezeichen versehene Huntings aus anderen Untersuchungen, die auf diese IP-Entität verweisen, IP-Aktivitätsereignisse aus externen Datenquellen und ungewöhnliche Verhaltensweisen, die von den Anomalieregeln Microsoft Sentinel erkannt wurden.

    Einblicke

    Entitätserkenntnisse sind Abfragen, die von Microsoft-Sicherheitsexperten definiert werden, damit Sie effizienter und effektiver untersuchen können. Diese Erkenntnisse stellen automatisch die großen Fragen zu Ihrer IP-Entität und liefern wertvolle Sicherheitsinformationen in Form von tabellarischen Daten und Diagrammen. Zu den Erkenntnissen gehören Daten aus verschiedenen IP-Threat Intelligence-Quellen, die Überprüfung des Netzwerkdatenverkehrs und mehr sowie erweiterte Machine Learning-Algorithmen zur Erkennung von anomalen Verhaltensweisen.

    Im Folgenden sind einige der gezeigten Erkenntnisse aufgeführt:

    • Microsoft Defender Threat Intelligence Ruf.
    • Virus Gesamt-IP-Adresse.
    • Aufgezeichnete zukünftige IP-Adresse.
    • Anomali-IP-Adresse
    • AbuseIPDB.
    • Anomalieanzahl nach IP-Adresse.
    • Überprüfung des Netzwerkdatenverkehrs.
    • IP-Adress-Remoteverbindungen mit TI-Übereinstimmung.
    • Remoteverbindungen mit IP-Adressen.
    • Diese IP-Adresse hat eine TI-Übereinstimmung.
    • Watchlist-Erkenntnisse (Vorschau)

    Die Erkenntnisse basieren auf den folgenden Datenquellen:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra ID)
    • SigninLogs (Microsoft Entra ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • Heartbeat (Azure Monitor-Agent)
    • CommonSecurityLog (Microsoft Sentinel)

    Wenn Sie die Erkenntnisse in diesem Bereich weiter untersuchen möchten, wählen Sie den Link aus, der die Erkenntnis begleitet. Über den Link gelangen Sie zur Seite Erweiterte Suche , auf der die Abfrage angezeigt wird, die der Erkenntnis zugrunde liegt, sowie die unformatierten Ergebnisse. Sie können die Abfrage ändern oder einen Drilldown in die Ergebnisse ausführen, um Ihre Untersuchung zu erweitern oder einfach Nur Ihre Neugier zu befriedigen.

    Antwortaktionen

    Reaktionsaktionen bieten Tastenkombinationen zum Analysieren, Untersuchen und Schützen von Bedrohungen.

    Antwortaktionen werden am oberen Rand einer bestimmten IP-Entitätsseite ausgeführt und umfassen Folgendes:

    Aktion Beschreibung
    Indikator hinzufügen Öffnet einen Assistenten zum Hinzufügen dieser IP-Adresse als Indikator für Gefährdung (Indicator of Compromise, IoC) zu Ihrer Threat Intelligence-Wissensdatenbank.
    Ip-Einstellungen für Cloud-Apps öffnen Öffnet den Konfigurationsbildschirm für IP-Adressbereiche, auf dem Sie die IP-Adresse hinzufügen können.
    Untersuchen im Aktivitätsprotokoll Öffnet den Microsoft 365-Aktivitätsprotokollbildschirm, auf dem Sie nach der IP-Adresse in anderen Protokollen suchen können.
    Suche starten Öffnet die Seite Erweiterte Suche mit einer integrierten Huntingabfrage, um Instanzen dieser IP-Adresse zu finden.

    Tipp

    Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.