Page d’entité d’adresse IP dans Microsoft Defender
La page d’entité d’adresse IP du portail Microsoft Defender vous permet d’examiner les communications possibles entre vos appareils et les adresses IP externes.
L’identification de tous les appareils dans le organization qui ont communiqué avec une adresse IP suspecte ou connue malveillante, comme les serveurs de commande et de contrôle (C2), permet de déterminer l’étendue potentielle de la violation, les fichiers associés et les appareils infectés.
Vous trouverez des informations dans les sections suivantes dans la page d’entité d’adresse IP :
Important
Microsoft Sentinel est généralement disponible dans la plateforme unifiée d’opérations de sécurité de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans Microsoft Defender XDR ni licence E5. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Dans le volet gauche, la page Vue d’ensemble fournit un résumé des détails IP (le cas échéant).
Section | Détails |
---|---|
Informations de sécurité | |
Détails de l’adresse IP |
Le côté gauche comporte également un panneau montrant l’activité des journaux (heure pour la première fois/dernière vue, source de données) collectée à partir de plusieurs sources de journaux, et un autre panneau affichant une liste d’hôtes journalisés collectés à partir des tables de pulsations de l’Agent de surveillance Azure.
Le corps main de la page Vue d’ensemble contient des cartes de tableau de bord montrant un nombre d’incidents et d’alertes (regroupés par gravité) contenant l’adresse IP, ainsi qu’un graphique de la prévalence de l’adresse IP dans le organization sur la période indiquée.
La page Incidents et alertes affiche une liste d’incidents et d’alertes qui incluent l’adresse IP dans le cadre de leur article. Ces incidents et alertes proviennent d’un certain nombre de sources de détection Microsoft Defender, y compris, si elles sont intégrées, Microsoft Sentinel. Cette liste est une version filtrée de la file d’attente des incidents et affiche une brève description de l’incident ou de l’alerte, sa gravité (élevée, moyenne, faible, informationnelle), son status dans la file d’attente (nouveau, en cours, résolu), sa classification (non définie, fausse alerte, vraie alerte), l’état d’investigation, la catégorie, la personne affectée pour y répondre et la dernière activité observée.
Vous pouvez personnaliser les colonnes affichées pour chaque élément. Vous pouvez également filtrer les alertes par gravité, status ou toute autre colonne dans l’affichage.
La colonne ressources affectées fait référence à l’ensemble des utilisateurs, des applications et des autres entités référencées dans l’incident ou l’alerte.
Lorsqu’un incident ou une alerte est sélectionné, un menu volant s’affiche. À partir de ce panneau, vous pouvez gérer l’incident ou l’alerte et afficher plus de détails tels que le numéro d’incident/d’alerte et les appareils associés. Plusieurs alertes peuvent être sélectionnées à la fois.
Pour afficher une vue complète d’un incident ou d’une alerte, sélectionnez son titre.
La section Observé dans organization fournit la liste des appareils qui ont une connexion avec cette adresse IP et les détails du dernier événement pour chaque appareil (la liste est limitée à 100 appareils).
Si votre organization intégré Microsoft Sentinel au portail Defender, cet onglet supplémentaire se trouve sur la page d’entité d’adresse IP. Cet onglet importe la page d’entité IP à partir de Microsoft Sentinel.
Cette chronologie affiche les alertes associées à l’entité d’adresse IP. Ces alertes incluent celles affichées sous l’onglet Incidents et alertes et celles créées par Microsoft Sentinel à partir de sources de données tierces et non-Microsoft.
Cette chronologie montre également les chasses avec signet d’autres investigations qui font référence à cette entité IP, les événements d’activité IP provenant de sources de données externes et les comportements inhabituels détectés par les règles d’anomalie de Microsoft Sentinel.
Les insights d’entité sont des requêtes définies par les chercheurs en sécurité Microsoft pour vous aider à examiner plus efficacement et plus efficacement. Ces insights posent automatiquement les grandes questions sur votre entité IP, en fournissant des informations de sécurité précieuses sous la forme de données tabulaires et de graphiques. Les insights incluent des données provenant de diverses sources de renseignement sur les menaces IP, l’inspection du trafic réseau, etc., et incluent des algorithmes de Machine Learning avancés pour détecter les comportements anormaux.
Voici quelques-uns des insights présentés :
- Microsoft Defender Threat Intelligence réputation.
- Adresse IP totale du virus.
- Adresse IP future enregistrée.
- Adresse IP anomali
- AbuseIPDB.
- Les anomalies sont comptabilisées par adresse IP.
- Inspection du trafic réseau.
- Connexions distantes d’adresse IP avec correspondance TI.
- Connexions distantes d’adresses IP.
- Cette adresse IP a une correspondance TI.
- Insights watchlist (préversion).
Les insights sont basés sur les sources de données suivantes :
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Pulsation (agent Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Si vous souhaitez explorer plus en détail l’un des insights de ce panneau, sélectionnez le lien qui les accompagne. Le lien vous dirige vers la page Repérage avancé , où il affiche la requête sous-jacente à l’insight, ainsi que ses résultats bruts. Vous pouvez modifier la requête ou explorer les résultats pour étendre votre investigation ou simplement satisfaire votre curiosité.
Les actions de réponse offrent des raccourcis pour analyser, examiner et se défendre contre les menaces.
Les actions de réponse s’exécutent en haut d’une page d’entité IP spécifique et incluent :
Opération | Description |
---|---|
Ajouter un indicateur | Ouvre un Assistant pour vous permettre d’ajouter cette adresse IP en tant qu’indicateur de compromission (IoC) à votre base de connaissances Threat Intelligence. |
Ouvrir les paramètres IP de l’application cloud | Ouvre l’écran de configuration des plages d’adresses IP pour vous permettre d’y ajouter l’adresse IP. |
Examiner dans le journal d’activité | Ouvre l’écran journal d’activité Microsoft 365 pour vous permettre de rechercher l’adresse IP dans d’autres journaux. |
Accédez à la recherche | Ouvre la page Repérage avancé , avec une requête de repérage intégrée pour rechercher les instances de cette adresse IP. |
- vue d’ensemble de Microsoft Defender XDR
- Activer Microsoft Defender XDR
- Page Entité de l’appareil dans Microsoft Defender
- Page d’entité utilisateur dans Microsoft Defender
- intégration Microsoft Defender XDR à Microsoft Sentinel
- Connecter Microsoft Sentinel à Microsoft Defender XDR
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.