Página de entidad de dirección IP en Microsoft Defender
La página de entidad de dirección IP del portal de Microsoft Defender le ayuda a examinar la posible comunicación entre los dispositivos y las direcciones de protocolo de Internet (IP) externas.
La identificación de todos los dispositivos de la organización que se comunicaron con una dirección IP malintencionada sospechosa o conocida, como servidores de comandos y control (C2), ayuda a determinar el posible ámbito de la infracción, los archivos asociados y los dispositivos infectados.
Puede encontrar información de las secciones siguientes en la página de entidad de dirección IP:
Importante
Microsoft Sentinel está disponible como parte de la versión preliminar pública para la plataforma de operaciones de seguridad unificadas en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Información general
En el panel izquierdo, la página Información general proporciona un resumen de los detalles de IP (si está disponible).
| Sección | Detalles |
|---|---|
| Información de seguridad | |
| Detalles de IP |
El lado izquierdo también tiene un panel que muestra la actividad de registro (la primera vez que se ve o se ve por última vez, el origen de datos) recopilado de varios orígenes de registro y otro panel que muestra una lista de hosts registrados recopilados de las tablas de latidos del Agente de supervisión de Azure.
El cuerpo principal de la página Información general contiene tarjetas de panel que muestran un recuento de incidentes y alertas (agrupados por gravedad) que contienen la dirección IP y un gráfico de la prevalencia de la dirección IP en la organización durante el período de tiempo indicado.
Incidentes y alertas
La página Incidentes y alertas muestra una lista de incidentes y alertas que incluyen la dirección IP como parte de su historia. Estos incidentes y alertas proceden de cualquiera de una serie de orígenes de detección de Microsoft Defender, incluido, si se incorpora, Microsoft Sentinel. Esta lista es una versión filtrada de la cola de incidentes y muestra una breve descripción del incidente o alerta, su gravedad (alta, media, baja, informativa), su estado en la cola (nuevo, en curso, resuelto), su clasificación (no establecida, alerta falsa, alerta verdadera), estado de investigación, categoría, quién está asignado para abordarlo y última actividad observada.
Puede personalizar qué columnas se muestran para cada elemento. También puede filtrar las alertas por gravedad, estado o cualquier otra columna de la pantalla.
La columna de recursos afectados hace referencia a todos los usuarios, aplicaciones y otras entidades a las que se hace referencia en el incidente o la alerta.
Cuando se selecciona un incidente o una alerta, aparece un control flotante. En este panel puede administrar el incidente o la alerta y ver más detalles, como el número de incidente o alerta y los dispositivos relacionados. Se pueden seleccionar varias alertas a la vez.
Para ver una vista de página completa de un incidente o alerta, seleccione su título.
Observado en la organización
La sección Observada en la organización proporciona una lista de dispositivos que tienen una conexión con esta dirección IP y los últimos detalles del evento para cada dispositivo (la lista está limitada a 100 dispositivos).
Eventos de Sentinel
Si su organización incorporó Microsoft Sentinel al portal de Defender, esta pestaña adicional se encuentra en la página de entidad de dirección IP. Esta pestaña importa la página de la entidad IP de Microsoft Sentinel.
Escala de tiempo de Sentinel
Esta escala de tiempo muestra las alertas asociadas a la entidad de dirección IP. Estas alertas incluyen las que se ven en la pestaña Incidentes y alertas y las creadas por Microsoft Sentinel desde orígenes de datos de terceros que no son de Microsoft.
Esta escala de tiempo también muestra las búsquedas marcadas de otras investigaciones que hacen referencia a esta entidad IP, eventos de actividad ip de orígenes de datos externos y comportamientos inusuales detectados por las reglas de anomalías de Microsoft Sentinel.
Insights
Entity Insights son consultas definidas por investigadores de seguridad de Microsoft para ayudarle a investigar de forma más eficaz y eficaz. Estas conclusiones formulan automáticamente las grandes preguntas sobre la entidad ip, lo que proporciona información de seguridad valiosa en forma de gráficos y datos tabulares. La información incluye datos de varios orígenes de inteligencia sobre amenazas IP, inspección del tráfico de red, etc., e incluyen algoritmos avanzados de aprendizaje automático para detectar comportamientos anómalos.
A continuación se muestran algunas de las conclusiones:
- Inteligencia contra amenazas de Microsoft Defender reputación.
- Dirección IP total de virus.
- Dirección IP futura registrada.
- Dirección IP de Anomali
- AbuseIPDB.
- Las anomalías se cuentan por dirección IP.
- Inspección del tráfico de red.
- Conexiones remotas de direcciones IP con coincidencia de TI.
- Conexiones remotas de direcciones IP.
- Esta dirección IP tiene una coincidencia de TI.
- Información de la lista de reproducción (versión preliminar).
La información se basa en los siguientes orígenes de datos:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (UEBA de Microsoft Sentinel)
- Latido (agente de Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Si desea explorar aún más cualquiera de las conclusiones de este panel, seleccione el vínculo que acompaña a la información. El vínculo le lleva a la página Búsqueda avanzada , donde muestra la consulta subyacente a la información, junto con sus resultados sin procesar. Puede modificar la consulta o explorar en profundidad los resultados para expandir la investigación o simplemente satisfacer su curiosidad.
Acciones de respuesta
Las acciones de respuesta ofrecen accesos directos para analizar, investigar y defenderse contra amenazas.
Las acciones de respuesta se ejecutan en la parte superior de una página de entidad IP específica e incluyen:
| Acción | Descripción |
|---|---|
| Agregar indicador | Abre un asistente para agregar esta dirección IP como indicador de peligro (IoC) a la base de conocimiento de Threat Intelligence. |
| Abrir la configuración de IP de la aplicación en la nube | Abre la pantalla de configuración intervalos de direcciones IP para que pueda agregarle la dirección IP. |
| Investigación en el registro de actividad | Abre la pantalla Registro de actividad de Microsoft 365 para que busque la dirección IP en otros registros. |
| Ir a la caza | Abre la página Búsqueda avanzada , con una consulta de búsqueda integrada para buscar instancias de esta dirección IP. |
Temas relacionados
- introducción a Microsoft Defender XDR
- Activar Microsoft Defender XDR
- Página de entidad de dispositivo en Microsoft Defender
- Página de entidad de usuario en Microsoft Defender
- integración Microsoft Defender XDR con Microsoft Sentinel
- Conectar Microsoft Sentinel a Microsoft Defender XDR (versión preliminar)
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de