Lue englanniksi

Jaa


IP-osoite-entiteettisivu kohteessa Microsoft Defender

Microsoft Defender portaalin IP-osoite-entiteettisivun avulla voit tutkia laitteiden välistä ja ulkoisten Internet-protokollan (IP) osoitteiden välistä tietoliikennettä.

Tunnistamalla kaikki organisaation laitteet, jotka kommunikoivat epäillyn tai tunnetun haitallisen IP-osoitteen kanssa, kuten Komento- ja hallintapalvelimet (C2) -palvelimet, auttaa määrittämään tietomurron mahdollisen laajuuden, siihen liittyvät tiedostot ja tartunnan saaneet laitteet.

Voit etsiä tietoja seuraavista osista IP-osoite-entiteettisivulta:

Tärkeä

Microsoft Sentinel on yleisesti saatavilla Microsoftin yhdistetyssä suojaustoimintojen ympäristössä Microsoft Defender-portaalissa. Esikatselua varten Microsoft Sentinel on käytettävissä Defender-portaalissa ilman Microsoft Defender XDR tai E5-käyttöoikeutta. Lisätietoja on Microsoft Defender-portaalin kohdassa Microsoft Sentinel.

Yleiskatsaus

Yleiskatsaus-sivu antaa vasemmassa ruudussa yhteenvedon IP-tiedoista (jos saatavilla).

Osa Tiedot
Suojaustiedot
  • Avoimet tapaukset
  • Aktiiviset ilmoitukset
  • IP-tiedot
  • Organisaatio (ISP)
  • ASN
  • Maa/alue, osavaltio, kaupunki
  • Kantaja
  • Leveysaste ja pituusaste
  • Postinumero
  • Vasemmalla puolella on myös paneeli, joka näyttää lokitoiminnon (ensimmäinen kerta, kun hänet nähtiin tai nähtiin viimeksi, tietolähde), joka on kerätty useista lokilähteistä, ja toinen paneeli, joka näyttää luettelon Azure-valvonta-agentin syketaulukoista kerätyistä kirjatuista isännistä.

    Yleiskatsaus-sivun päärungon sisältö sisältää koontinäyttökortteja, joissa näkyy tapausten ja hälytysten määrä (vakavuuden mukaan ryhmiteltynä), jotka sisältävät IP-osoitteen, sekä kaavio IP-osoitteen esiintyvyydestä organisaatiossa ilmoitetun ajanjakson aikana.

    Tapaukset ja hälytykset

    Tapaukset ja hälytykset -sivulla on luettelo tapauksista ja hälytyksistä, jotka sisältävät IP-osoitteen osana tarinaansa. Nämä tapaukset ja hälytykset ovat peräisin useista Microsoft Defender tunnistuslähteistä, mukaan lukien, jos ne on otettu käyttöön, Microsoft Sentinel. Tämä luettelo on tapahtumajonon suodatettu versio, ja se näyttää lyhyen kuvauksen tapahtumasta tai hälytyksestä, sen vakavuudesta (suuri, normaali, pieni, tiedottava), sen tilasta jonossa (uusi, käynnissä, ratkaistu), sen luokituksesta (ei määritetty, väärä ilmoitus, tosi hälytys), tutkintatilasta, luokasta, joka on määritetty käsittelemään sitä, ja viimeisestä havaitusta toiminnasta.

    Voit mukauttaa kullekin kohteelle näytettävät sarakkeet. Voit myös suodattaa hälytykset vakavuuden, tilan tai minkä tahansa muun näytön sarakkeen mukaan.

    Vaikutusresurssit-sarake viittaa kaikkiin käyttäjiin, sovelluksiin ja muihin entiteetteihin, joihin tapahtumassa tai hälytyksessä viitataan.

    Kun tapaus tai hälytys on valittuna, esiin tulee pikaikkuna. Tässä paneelissa voit hallita tapausta tai ilmoitusta ja tarkastella lisätietoja, kuten tapausten/hälytysten numeroa ja liittyviä laitteita. Kerrallaan voidaan valita useita ilmoituksia.

    Jos haluat nähdä koko sivun näkymän tapahtumasta tai ilmoituksesta, valitse sen otsikko.

    Havaittu organisaatiossa

    Havaittu organisaatiossa -osio sisältää luettelon laitteista, joilla on yhteys tähän IP:hen, ja kunkin laitteen viimeisen tapahtuman tiedot (luettelo on rajoitettu 100 laitteeseen).

    Sentinel tapahtumat

    Jos organisaatiosi on perehdyttänyt Microsoft Sentinel Defender-portaaliin, tämä lisävälilehti on IP-osoitteen entiteettisivulla. Tämä välilehti tuo IP-entiteettisivun Microsoft Sentinel.

    Sentinel aikajana

    Tässä aikajanassa näkyvät IP-osoite-entiteettiin liittyvät ilmoitukset. Näitä ilmoituksia ovat esimerkiksi Tapaukset ja hälytykset -välilehdellä näkyvät hälytykset sekä kolmansien osapuolten, muiden kuin Microsoftin tietolähteiden Microsoft Sentinel luomat hälytykset.

    Tämä aikajana näyttää myös kirjanmerkityt metsästykset muista tutkimuksista, jotka viittaavat tähän IP-entiteettiin, ip-toimintatapahtumiin ulkoisista tietolähteistä ja epätavallisiin käyttäytymisiin, joita Microsoft Sentinel poikkeamasäännöt havaitsevat.

    Oivalluksia

    Entiteetin merkitykselliset tiedot ovat Microsoftin suojaustutkijoiden määrittämiä kyselyjä, joiden avulla voit tutkia asiaa tehokkaammin ja tehokkaammin. Nämä merkitykselliset tiedot esittävät automaattisesti IP-entiteettiäsi koskevat suuret kysymykset ja tarjoavat arvokkaita suojaustietoja taulukkomuotoisten tietojen ja kaavioiden muodossa. Merkitykselliset tiedot sisältävät tietoja erilaisista IP-uhkien tiedustelulähteistä, verkkoliikenteen tarkastuksista ja muista, ja ne sisältävät kehittyneitä koneoppimisalgoritmeja poikkeavan käyttäytymisen havaitsemiseksi.

    Seuraavassa on joitakin näytettyjä merkityksellisiä tietoja:

    • Microsoft Defender Threat Intelligence mainetta.
    • Virus IP-osoitteen kokonaismäärä.
    • Tallennettu tuleva IP-osoite.
    • Poikkeaman IP-osoite
    • AbuseIPDB.
    • Poikkeamien määrä IP-osoitteen mukaan.
    • Verkkoliikenteen tarkastus.
    • IP-osoitteen etäyhteydet, joissa on TI-vastaavuus.
    • IP-osoitteen etäyhteydet.
    • Tällä IP:llä on ti-vastaavuus.
    • Katseluluettelon merkitykselliset tiedot (esikatselu).

    Merkitykselliset tiedot perustuvat seuraaviin tietolähteisiin:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra ID)
    • SigninLogs (Microsoft Entra ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • Syke (Azure Monitor -agentti)
    • CommonSecurityLog (Microsoft Sentinel)

    Jos haluat tutustua tarkemmin johonkin tämän paneelin merkityksellisiin tietoihin, valitse merkityksellisiä tietoja sisältävä linkki. Linkki vie sinut Kehittyneen metsästyksen sivulle, jossa se näyttää kyselyn merkityksellisten tietojen pohjana sekä sen raakatulokset. Voit muokata kyselyä tai porautua tuloksiin laajentaaksesi tutkimustasi tai vain tyydyttääksesi uteliaisuutesi.

    Vastaustoiminnot

    Vastaustoiminnot tarjoavat pikakuvakkeita uhkien analysointiin, tutkimiseen ja suojaamiseen.

    Vastaustoiminnot suoritetaan tietyn IP-entiteettisivun yläosassa, ja ne sisältävät seuraavat:

    Toiminta Kuvaus
    Lisää ilmaisin Avaa ohjatun toiminnon, jonka avulla voit lisätä tämän IP-osoitteen kompromissin ilmaisimena (IoC) uhkatietojen tietokantaan.
    Pilvisovelluksen IP-asetusten avaaminen Avaa IP-osoitealueiden määritysnäytön, johon voit lisätä IP-osoitteen.
    Tutki toimintalokissa Avaa Microsoft 365:n toiminnan lokinäytön, jossa voit etsiä IP-osoitetta muista lokeista.
    Mene metsästämään Avaa lisämetsästyssivun , jossa on sisäinen metsästyskysely tämän IP-osoitteen esiintymien löytämiseksi.

    Vihje

    Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.