Seite "IP-Adressentität" in Microsoft Defender
Auf der Seite "IP-Adressentität" im Microsoft Defender-Portal können Sie die mögliche Kommunikation zwischen Ihren Geräten und externen IP-Adressen (Internet Protocol) untersuchen.
Die Identifizierung aller Geräte im organization, die mit einer mutmaßlichen oder bekannten schädlichen IP-Adresse kommuniziert haben, z. B. Befehls- und Steuerungsserver (C2), hilft bei der Ermittlung des potenziellen Umfangs der Sicherheitsverletzung, der zugehörigen Dateien und infizierten Geräte.
Informationen finden Sie in den folgenden Abschnitten auf der Seite ip-Adressentität:
Wichtig
Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die Unified Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Übersicht
Im linken Bereich enthält die Seite Übersicht eine Zusammenfassung der IP-Details (sofern verfügbar).
| Abschnitt | Details |
|---|---|
| Sicherheitsinformationen | |
| IP-Details |
Auf der linken Seite befindet sich außerdem ein Bereich mit der Protokollaktivität (Zeitpunkt der ersten Anzeige/letzten Anzeige, Datenquelle), die aus mehreren Protokollquellen gesammelt wurden, und ein weiterer Bereich mit einer Liste der protokollierten Hosts, die aus Azure Monitoring Agent-Heartbeattabellen gesammelt wurden.
Der Standard Hauptteil der Übersichtsseite enthält Dashboard Karten mit einer Anzahl von Incidents und Warnungen (gruppiert nach Schweregrad), die die IP-Adresse enthalten, sowie ein Diagramm der Verbreitung der IP-Adresse im organization im angegebenen Zeitraum.
Vorfälle und Warnungen
Auf der Seite Incidents and Alerts (Vorfälle und Warnungen ) wird eine Liste von Vorfällen und Warnungen angezeigt, die die IP-Adresse als Teil ihrer Geschichte enthalten. Diese Vorfälle und Warnungen stammen aus einer Reihe von Microsoft Defender Erkennungsquellen, einschließlich, falls integriert, Microsoft Sentinel. Diese Liste ist eine gefilterte Version der Incidentwarteschlange und enthält eine kurze Beschreibung des Incidents oder der Warnung, seines Schweregrads (hoch, mittel, niedrig, informativ), seiner status in der Warteschlange (neu, in Bearbeitung, gelöst), seiner Klassifizierung (nicht festgelegt, falsch, true alert), des Untersuchungszustands, der Kategorie, der Person, die ihm zugewiesen ist, und der letzten beobachteten Aktivität.
Sie können anpassen, welche Spalten für jedes Element angezeigt werden. Sie können die Warnungen auch nach Schweregrad, status oder einer anderen Spalte in der Anzeige filtern.
Die Spalte "Betroffener Ressourcen " bezieht sich auf alle Benutzer, Anwendungen und andere Entitäten, auf die in dem Incident oder der Warnung verwiesen wird.
Wenn ein Incident oder eine Warnung ausgewählt wird, wird ein Flyout angezeigt. In diesem Bereich können Sie den Incident oder die Warnung verwalten und weitere Details anzeigen, z. B. Incident-/Warnungsnummer und zugehörige Geräte. Es können mehrere Warnungen gleichzeitig ausgewählt werden.
Um eine vollständige Seitenansicht eines Incidents oder einer Warnung anzuzeigen, wählen Sie den Titel aus.
Beobachtet in organization
Der Abschnitt Beobachtet in organization enthält eine Liste der Geräte, die über eine Verbindung mit dieser IP-Adresse verfügen, sowie die letzten Ereignisdetails für jedes Gerät (die Liste ist auf 100 Geräte beschränkt).
Sentinel-Ereignisse
Wenn Ihr organization Microsoft Sentinel in das Defender-Portal integriert hat, befindet sich diese zusätzliche Registerkarte auf der Seite mit der IP-Adressentität. Diese Registerkarte importiert die IP-Entitätsseite aus Microsoft Sentinel.
Sentinel-Zeitleiste
In diesem Zeitleiste werden Warnungen angezeigt, die der IP-Adressentität zugeordnet sind. Zu diesen Warnungen gehören Warnungen, die auf der Registerkarte Incidents und Warnungen angezeigt werden, und die warnungen, die von Microsoft Sentinel aus Datenquellen von Drittanbietern erstellt wurden, die nicht von Microsoft stammen.
Dieses Zeitleiste zeigt auch Lesezeichensuche aus anderen Untersuchungen, die auf diese IP-Entität verweisen, IP-Aktivitätsereignisse aus externen Datenquellen und ungewöhnliche Verhaltensweisen, die von den Anomalieregeln von Microsoft Sentinel erkannt wurden.
Einblicke
Entitätserkenntnisse sind Abfragen, die von Microsoft-Sicherheitsexperten definiert werden, damit Sie effizienter und effektiver untersuchen können. Diese Erkenntnisse stellen automatisch die großen Fragen zu Ihrer IP-Entität und liefern wertvolle Sicherheitsinformationen in Form von tabellarischen Daten und Diagrammen. Zu den Erkenntnissen gehören Daten aus verschiedenen IP-Threat Intelligence-Quellen, die Überprüfung des Netzwerkdatenverkehrs und mehr sowie erweiterte Machine Learning-Algorithmen zur Erkennung von anomalen Verhaltensweisen.
Im Folgenden sind einige der gezeigten Erkenntnisse aufgeführt:
- Microsoft Defender Threat Intelligence Ruf.
- Virus Gesamt-IP-Adresse.
- Aufgezeichnete zukünftige IP-Adresse.
- Anomali-IP-Adresse
- AbuseIPDB.
- Anomalieanzahl nach IP-Adresse.
- Überprüfung des Netzwerkdatenverkehrs.
- IP-Adress-Remoteverbindungen mit TI-Übereinstimmung.
- Remoteverbindungen mit IP-Adressen.
- Diese IP-Adresse hat eine TI-Übereinstimmung.
- Watchlist-Erkenntnisse (Vorschau)
Die Erkenntnisse basieren auf den folgenden Datenquellen:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Azure Monitor-Agent)
- CommonSecurityLog (Microsoft Sentinel)
Wenn Sie die Erkenntnisse in diesem Bereich weiter untersuchen möchten, wählen Sie den Link aus, der die Erkenntnis begleitet. Über den Link gelangen Sie zur Seite Erweiterte Suche , auf der die Abfrage angezeigt wird, die der Erkenntnis zugrunde liegt, sowie die unformatierten Ergebnisse. Sie können die Abfrage ändern oder einen Drilldown in die Ergebnisse ausführen, um Ihre Untersuchung zu erweitern oder einfach Nur Ihre Neugier zu befriedigen.
Antwortaktionen
Reaktionsaktionen bieten Tastenkombinationen zum Analysieren, Untersuchen und Schützen von Bedrohungen.
Antwortaktionen werden am oberen Rand einer bestimmten IP-Entitätsseite ausgeführt und umfassen Folgendes:
| Aktion | Beschreibung |
|---|---|
| Indikator hinzufügen | Öffnet einen Assistenten zum Hinzufügen dieser IP-Adresse als Indikator für Gefährdung (Indicator of Compromise, IoC) zu Ihrer Threat Intelligence-Wissensdatenbank. |
| Ip-Einstellungen für Cloud-Apps öffnen | Öffnet den Konfigurationsbildschirm für IP-Adressbereiche, auf dem Sie die IP-Adresse hinzufügen können. |
| Untersuchen im Aktivitätsprotokoll | Öffnet den Microsoft 365-Aktivitätsprotokollbildschirm, auf dem Sie nach der IP-Adresse in anderen Protokollen suchen können. |
| Suche starten | Öffnet die Seite Erweiterte Suche mit einer integrierten Huntingabfrage, um Instanzen dieser IP-Adresse zu finden. |
Verwandte Themen
- Microsoft Defender XDR Übersicht
- Aktivieren von Microsoft Defender XDR
- Seite "Geräteentität" in Microsoft Defender
- Seite "Benutzerentität" in Microsoft Defender
- Microsoft Defender XDR Integration mit Microsoft Sentinel
- Verbinden von Microsoft Sentinel mit Microsoft Defender XDR (Vorschau)
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für