IP-osoite-entiteettisivu Microsoft Defenderissä

• Koskee seuraavia::

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender -portaalin IP-osoite-entiteettisivun avulla voit tutkia laitteiden välistä ja ulkoisten IP-osoitteiden välistä tietoliikennettä.

Tunnistamalla kaikki organisaation laitteet, jotka kommunikoivat epäillyn tai tunnetun haitallisen IP-osoitteen kanssa, kuten Komento- ja hallintapalvelimet (C2) -palvelimet, auttaa määrittämään tietomurron mahdollisen laajuuden, siihen liittyvät tiedostot ja tartunnan saaneet laitteet.

Voit etsiä tietoja seuraavista osista IP-osoite-entiteettisivulta:

• Yleiskatsaus
• Tapaukset ja hälytykset
• Havaittu organisaatiossa
• Sentinel-tapahtumat

Tärkeää

Microsoft Sentinel on saatavilla osana yhtenäistä suojaustoimintojen ympäristöä Microsoft Defender -portaalissa. Defender-portaalin Microsoft Sentineliä tuetaan nyt tuotantokäyttöön. Lisätietoja on Microsoft Sentinel -artikkelissa Microsoft Defender -portaalissa.

Yleiskatsaus

Yleiskatsaus-sivu antaa vasemmassa ruudussa yhteenvedon IP-tiedoista (jos saatavilla).

Jakso	Tiedot
Suojaustiedot	Avoimet tapaukset Aktiiviset ilmoitukset
IP-tiedot	Organisaatio (ISP) ASN Maa/alue, osavaltio, kaupunki Harjoittaja Leveysaste ja pituusaste Postinumero

Vasemmalla puolella on myös paneeli, joka näyttää lokitoiminnon (ensimmäinen kerta, kun hänet nähtiin tai nähtiin viimeksi, tietolähde), joka on kerätty useista lokilähteistä, ja toinen paneeli, joka näyttää luettelon Azure-valvonta-agentin syketaulukoista kerätyistä kirjatuista isännistä.

Yleiskatsaus-sivun päärungon sisältö sisältää koontinäyttökortteja, joissa näkyy tapausten ja hälytysten määrä (vakavuuden mukaan ryhmiteltynä), jotka sisältävät IP-osoitteen, sekä kaavio IP-osoitteen esiintyvyydestä organisaatiossa ilmoitetun ajanjakson aikana.

Tapaukset ja hälytykset

Tapaukset ja hälytykset -sivulla on luettelo tapauksista ja hälytyksistä, jotka sisältävät IP-osoitteen osana tarinaansa. Nämä tapaukset ja hälytykset ovat peräisin mistä tahansa useista Microsoft Defenderin tunnistuslähteistä, mukaan lukien, jos ne on otettu käyttöön, Microsoft Sentinelistä. Tämä luettelo on tapahtumajonon suodatettu versio, ja se näyttää lyhyen kuvauksen tapahtumasta tai hälytyksestä, sen vakavuudesta (suuri, normaali, pieni, tiedottava), sen tilasta jonossa (uusi, käynnissä, ratkaistu), sen luokituksesta (ei määritetty, väärä ilmoitus, tosi hälytys), tutkintatilasta, luokasta, joka on määritetty käsittelemään sitä, ja viimeisestä havaitusta toiminnasta.

Voit mukauttaa kullekin kohteelle näytettävät sarakkeet. Voit myös suodattaa hälytykset vakavuuden, tilan tai minkä tahansa muun näytön sarakkeen mukaan.

Vaikutusresurssit-sarake viittaa kaikkiin käyttäjiin, sovelluksiin ja muihin entiteetteihin, joihin tapahtumassa tai hälytyksessä viitataan.

Kun tapaus tai hälytys on valittuna, esiin tulee pikaikkuna. Tässä paneelissa voit hallita tapausta tai ilmoitusta ja tarkastella lisätietoja, kuten tapausten/hälytysten numeroa ja liittyviä laitteita. Kerrallaan voidaan valita useita ilmoituksia.

Jos haluat nähdä koko sivun näkymän tapahtumasta tai ilmoituksesta, valitse sen otsikko.

Havaittu organisaatiossa

Havaittu organisaatiossa -osio sisältää luettelon laitteista, joilla on yhteys tähän IP:hen, ja kunkin laitteen viimeisen tapahtuman tiedot (luettelo on rajoitettu 100 laitteeseen).

Sentinel-tapahtumat

Jos organisaatiosi on perehdyttänyt Microsoft Sentinelin Defender-portaaliin, tämä lisävälilehti on IP-osoitteen entiteettisivulla. Tämä välilehti tuo IP-entiteettisivun Microsoft Sentinelistä.

Sentinel-aikajana

Tässä aikajanassa näkyvät IP-osoite-entiteettiin liittyvät ilmoitukset. Näitä ilmoituksia ovat esimerkiksi Tapaukset ja hälytykset -välilehdellä näkyvät hälytykset sekä ne, jotka Microsoft Sentinel on luonut kolmannen osapuolen tietolähteistä, muista kuin Microsoftin tietolähteistä.

Tämä aikajana näyttää myös kirjanmerkityt metsästykset muista tutkimuksista, jotka viittaavat tähän IP-entiteettiin, ip-toimintatapahtumiin ulkoisista tietolähteistä ja epätavallisiin käyttäytymisiin, joita Microsoft Sentinelin poikkeamasäännöt havaitsevat.

Oivalluksia

Entiteetin merkitykselliset tiedot ovat Microsoftin suojaustutkijoiden määrittämiä kyselyjä, joiden avulla voit tutkia asiaa tehokkaammin ja tehokkaammin. Nämä merkitykselliset tiedot esittävät automaattisesti IP-entiteettiäsi koskevat suuret kysymykset ja tarjoavat arvokkaita suojaustietoja taulukkomuotoisten tietojen ja kaavioiden muodossa. Merkitykselliset tiedot sisältävät tietoja erilaisista IP-uhkien tiedustelulähteistä, verkkoliikenteen tarkastuksista ja muista, ja ne sisältävät kehittyneitä koneoppimisalgoritmeja poikkeavan käyttäytymisen havaitsemiseksi.

Seuraavassa on joitakin näytettyjä merkityksellisiä tietoja:

• Microsoft Defender Threat Intelligencen maine.
• Virus IP-osoitteen kokonaismäärä.
• Tallennettu tuleva IP-osoite.
• Poikkeaman IP-osoite
• AbuseIPDB.
• Poikkeamien määrä IP-osoitteen mukaan.
• Verkkoliikenteen tarkastus.
• IP-osoitteen etäyhteydet, joissa on TI-vastaavuus.
• IP-osoitteen etäyhteydet.
• Tällä IP:llä on ti-vastaavuus.
• Katseluluettelon merkitykselliset tiedot (esikatselu).

Merkitykselliset tiedot perustuvat seuraaviin tietolähteisiin:

• Syslog (Linux)
• SecurityEvent (Windows)
• AuditLogs (Microsoft Entra -tunnus)
• SigninLogs (Microsoft Entra -tunnus)
• OfficeActivity (Office 365)
• BehaviorAnalytics (Microsoft Sentinel UEBA)
• Syke (Azure Monitor -agentti)
• CommonSecurityLog (Microsoft Sentinel)

Jos haluat tutustua tarkemmin johonkin tämän paneelin merkityksellisiin tietoihin, valitse merkityksellisiä tietoja sisältävä linkki. Linkki vie sinut Kehittyneen metsästyksen sivulle, jossa se näyttää kyselyn merkityksellisten tietojen pohjana sekä sen raakatulokset. Voit muokata kyselyä tai porautua tuloksiin laajentaaksesi tutkimustasi tai vain tyydyttääksesi uteliaisuutesi.

Vastaustoiminnot

Vastaustoiminnot tarjoavat pikakuvakkeita uhkien analysointiin, tutkimiseen ja suojaamiseen.

Vastaustoiminnot suoritetaan tietyn IP-entiteettisivun yläosassa, ja ne sisältävät seuraavat:

Toiminta	Kuvaus
Lisää ilmaisin	Avaa ohjatun toiminnon, jonka avulla voit lisätä tämän IP-osoitteen kompromissin ilmaisimena (IoC) uhkatietojen tietokantaan.
Pilvisovelluksen IP-asetusten avaaminen	Avaa IP-osoitealueiden määritysnäytön, johon voit lisätä IP-osoitteen.
Tutki toimintalokissa	Avaa Microsoft 365:n toiminnan lokinäytön, jossa voit etsiä IP-osoitetta muista lokeista.
Mene metsästämään	Avaa lisämetsästyssivun , jossa on sisäinen metsästyskysely tämän IP-osoitteen esiintymien löytämiseksi.

Aiheeseen liittyvät artikkelit

• Microsoft Defenderin XDR-yleiskatsaus
• Ota käyttöön Microsoft Defender XDR
• Laitteen entiteettisivu Microsoft Defenderissä
• Käyttäjän entiteettisivu Microsoft Defenderissä
• Microsoft Defender XDR -integrointi Microsoft Sentinelin kanssa
• Yhdistä Microsoft Sentinel Microsoft Defender XDR:ään

Vihje

Haluatko tietää lisää? Ole yhteydessä Microsoft Security -yhteisöön teknologiayhteisössämme: Microsoft Defender for Endpoint Tech -yhteisössä.