Partage via


Page d’entité d’adresse IP dans Microsoft Defender

La page d’entité d’adresse IP dans le portail Microsoft Defender vous aide à examiner les communications possibles entre vos appareils et les adresses IP externes.

L’identification de tous les appareils de l’organisation qui ont communiqué avec une adresse IP malveillante suspectée ou connue, comme les serveurs de commande et de contrôle (C2), permet de déterminer l’étendue potentielle de la violation, les fichiers associés et les appareils infectés.

Vous trouverez des informations dans les sections suivantes dans la page d’entité d’adresse IP :

Importante

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Vue d’ensemble

Dans le volet gauche, la page Vue d’ensemble fournit un résumé des détails IP (le cas échéant).

Section Détails
Informations de sécurité
  • Incidents ouverts
  • Alertes actives
  • Détails de l’adresse IP
  • Organisation (ISP)
  • ASN
  • Pays/Région, État, Ville
  • Transporteur
  • Latitude et longitude
  • Code postal
  • Le côté gauche comporte également un panneau montrant l’activité des journaux (heure pour la première fois/dernière vue, source de données) collectée à partir de plusieurs sources de journaux, et un autre panneau affichant une liste d’hôtes journalisés collectés à partir des tables de pulsations de l’Agent de surveillance Azure.

    Le corps principal de la page Vue d’ensemble contient des cartes de tableau de bord montrant un nombre d’incidents et d’alertes (regroupés par gravité) contenant l’adresse IP, ainsi qu’un graphique de la prévalence de l’adresse IP dans l’organisation sur la période indiquée.

    Incidents et alertes

    La page Incidents et alertes affiche une liste d’incidents et d’alertes qui incluent l’adresse IP dans le cadre de leur article. Ces incidents et alertes proviennent d’un certain nombre de sources de détection Microsoft Defender, y compris, le cas échéant, Microsoft Sentinel. Cette liste est une version filtrée de la file d’attente des incidents et affiche une brève description de l’incident ou de l’alerte, sa gravité (élevée, moyenne, faible, informationnelle), son état dans la file d’attente (nouveau, en cours, résolu), sa classification (non définie, fausse alerte, vraie alerte), son état d’investigation, sa catégorie, qui est affecté pour y répondre et la dernière activité observée.

    Vous pouvez personnaliser les colonnes affichées pour chaque élément. Vous pouvez également filtrer les alertes par gravité, état ou toute autre colonne dans l’affichage.

    La colonne ressources affectées fait référence à l’ensemble des utilisateurs, des applications et des autres entités référencées dans l’incident ou l’alerte.

    Lorsqu’un incident ou une alerte est sélectionné, un menu volant s’affiche. À partir de ce panneau, vous pouvez gérer l’incident ou l’alerte et afficher plus de détails tels que le numéro d’incident/d’alerte et les appareils associés. Plusieurs alertes peuvent être sélectionnées à la fois.

    Pour afficher une vue complète d’un incident ou d’une alerte, sélectionnez son titre.

    Observé dans l’organisation

    La section Observé dans l’organisation fournit une liste des appareils qui ont une connexion avec cette adresse IP et les détails du dernier événement pour chaque appareil (la liste est limitée à 100 appareils).

    Événements Sentinel

    Si votre organisation a intégré Microsoft Sentinel au portail Defender, cet onglet supplémentaire se trouve sur la page d’entité d’adresse IP. Cet onglet importe la page d’entité IP à partir de Microsoft Sentinel.

    Chronologie sentinelle

    Cette chronologie affiche les alertes associées à l’entité d’adresse IP. Ces alertes incluent celles affichées sous l’onglet Incidents et alertes et celles créées par Microsoft Sentinel à partir de sources de données tierces et non-Microsoft.

    Cette chronologie montre également les chasses aux signets d’autres investigations qui font référence à cette entité IP, les événements d’activité IP provenant de sources de données externes et les comportements inhabituels détectés par les règles d’anomalie de Microsoft Sentinel.

    Insights

    Les insights d’entité sont des requêtes définies par les chercheurs en sécurité Microsoft pour vous aider à examiner plus efficacement et plus efficacement. Ces insights posent automatiquement les grandes questions sur votre entité IP, en fournissant des informations de sécurité précieuses sous la forme de données tabulaires et de graphiques. Les insights incluent des données provenant de diverses sources de renseignement sur les menaces IP, l’inspection du trafic réseau, etc., et incluent des algorithmes de Machine Learning avancés pour détecter les comportements anormaux.

    Voici quelques-uns des insights présentés :

    • Réputation de Microsoft Defender Threat Intelligence.
    • Adresse IP totale du virus.
    • Adresse IP future enregistrée.
    • Adresse IP anomali
    • AbuseIPDB.
    • Les anomalies sont comptabilisées par adresse IP.
    • Inspection du trafic réseau.
    • Connexions distantes d’adresse IP avec correspondance TI.
    • Connexions distantes d’adresses IP.
    • Cette adresse IP a une correspondance TI.
    • Insights watchlist (préversion).

    Les insights sont basés sur les sources de données suivantes :

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (ID Microsoft Entra)
    • SigninLogs (ID Microsoft Entra)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • Pulsation (agent Azure Monitor)
    • CommonSecurityLog (Microsoft Sentinel)

    Si vous souhaitez explorer plus en détail l’un des insights de ce panneau, sélectionnez le lien qui les accompagne. Le lien vous dirige vers la page Repérage avancé , où il affiche la requête sous-jacente à l’insight, ainsi que ses résultats bruts. Vous pouvez modifier la requête ou explorer les résultats pour étendre votre investigation ou simplement satisfaire votre curiosité.

    Actions de réponse

    Les actions de réponse offrent des raccourcis pour analyser, examiner et se défendre contre les menaces.

    Les actions de réponse s’exécutent en haut d’une page d’entité IP spécifique et incluent :

    Opération Description
    Ajouter un indicateur Ouvre un Assistant pour vous permettre d’ajouter cette adresse IP en tant qu’indicateur de compromission (IoC) à votre base de connaissances Threat Intelligence.
    Ouvrir les paramètres IP de l’application cloud Ouvre l’écran de configuration des plages d’adresses IP pour vous permettre d’y ajouter l’adresse IP.
    Examiner dans le journal d’activité Ouvre l’écran journal d’activité Microsoft 365 pour vous permettre de rechercher l’adresse IP dans d’autres journaux.
    Accédez à la recherche Ouvre la page Repérage avancé , avec une requête de repérage intégrée pour rechercher les instances de cette adresse IP.

    Conseil

    Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.