שתף באמצעות

דף ישות של כתובת IP ב- Microsoft Defender

  • מאמר
  • חל על:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

דף הישות של כתובת ה- IP בפורטל Microsoft Defender עוזר לך לבחון תקשורת אפשרית בין המכשירים שלך לבין כתובות פרוטוקול אינטרנט חיצוני (IP).

זיהוי כל המכשירים בארגון שקשרו עם כתובת IP חשודה או ידועה זדונית, כגון שרתי Command and Control (C2), מסייעת לקבוע את היקף ההפרה הפוטנציאלי, הקבצים המשויכים והמכשירים הנגועים.

באפשרותך למצוא מידע מהסעיפים הבאים בדף הישות של כתובת ה- IP:

חשוב

Microsoft Sentinel זמין כעת באופן כללי בתוך פלטפורמת פעולות האבטחה המאוחדות של Microsoft בפורטל Microsoft Defender. לקבלת מידע נוסף, ראה Microsoft Sentinel בפורטל Microsoft Defender.

סקירה כללית

בחלונית הימנית, הדף מבט כולל מספק סיכום של פרטי IP (אם זמינים).

במקטע פרטים
פרטי אבטחה
  • אירועים פתוחים
  • התראות פעילות
    		•
    פרטי IP
  • ארגון (ISP)
  • ASN
  • מדינה/אזור, מדינה, עיר
  • נושאת
  • קו רוחב וקו אורך
  • מיקוד
    		•

    בצד ימין יש גם לוח המציג פעילות יומן רישום (הפעם הראשונה שנראתה/נראה לאחרונה, מקור נתונים) שנאסף מכמה מקורות יומן רישום, ולוח אחר המציג רשימה של מארחים רשומים שנאספו מטבלאות פעימה של סוכן הניטור של Azure.

    הגוף הראשי של הדף ' מבט כולל' מכיל כרטיסי לוח מחוונים המציג ספירה של אירועים והתראות (מקובצים לפי חומרה) המכילים את כתובת ה- IP, ותרשים של השכיחות של כתובת ה- IP בארגון לאורך פרק הזמן שצוין.

    אירועים והתראות

    הדף אירועים והתראות מציג רשימה של אירועים והתראות הכוללים את כתובת ה- IP כחלק מהכתבה שלהם. אירועים והתראות אלה מגיעים ממספר מקורות זיהוי של Microsoft Defender, כולל Microsoft Sentinel, אם הם קלוט. רשימה זו היא גירסה מסוננת של תור האירועים, ומציגה תיאור קצר של האירוע או ההתראה, החומרה שלה (גבוהה, בינונית, נמוכה, מידע), המצב שלה בתור (חדש, מתבצע, נפתר), הסיווג שלה (לא מוגדר, התראה מוטעית, התראה אמיתית), מצב חקירה, קטגוריה, שהוקצה לטפל בה והפעילות האחרונה שנצפתה.

    באפשרותך להתאים אישית את העמודות המוצגות עבור כל פריט. באפשרותך גם לסנן את ההתראות לפי חומרה, מצב או כל עמודה אחרת בתצוגה.

    עמודת הנכסים המושפעת מתייחסת לכל המשתמשים, היישום וישויות אחרות שאליהם מתבצעת הפניה באירוע או בהתראה.

    בעת בחירת אירוע או התראה, מופיע תפריט נשלף. מלוח זה תוכל לנהל את המקרה או ההתראה ולהצג פרטים נוספים כגון מספר אירוע/התראה ומכשירים קשורים. ניתן לבחור התראות מרובות בכל פעם.

    כדי לראות תצוגת עמוד מלא של אירוע או התראה, בחר את הכותרת שלה.

    התבוננות בארגון

    המקטע מקוים בארגון מספק רשימה של מכשירים בעלי חיבור לאינטרנט זה ופרטי האירוע האחרון עבור כל מכשיר (הרשימה מוגבלת ל- 100 מכשירים).

    אירועי Sentinel

    אם הארגון שלך קלוט את Microsoft Sentinel לפורטל Defender, כרטיסיה נוספת זו נמצאת בדף הישות של כתובת ה- IP. כרטיסיה זו מייבאת את דף ישות ה- IP מ- Microsoft Sentinel.

    ציר זמן של Sentinel

    ציר זמן זה מציג התראות המשויכות לישות של כתובת ה- IP. התראות אלה כוללות את אלה שנכללו בכרטיסיה אירועים והתראות ואת אלה שנוצרו על-ידי Microsoft Sentinel ממקורות נתונים של ספקים חיצוניים שאינם של Microsoft.

    ציר זמן זה מציג גם ציד בסימניה מחקירות אחרות המפנה לישות IP זו, לאירועי פעילות IP ממקורות נתונים חיצוניים ולאופני פעולה חריגים שזוהו על-ידי כללי הסטייה של Microsoft Sentinel.

    תובנות

    תובנות לגבי ישות הן שאילתות שהוגדרו על-ידי חוקרי האבטחה של Microsoft כדי לסייע לך לחקור בצורה יעילה ויעילה יותר. תובנות אלה שואלות באופן אוטומטי את השאלות החשובות לגבי ישות ה- IP שלך, ומספקות מידע אבטחה חשוב בצורת נתונים ותרשימים טבלאיים. התובנות כוללות נתונים ממקורות שונים של בינת איומי IP, בדיקת תעבורת רשת ועוד, וכוללות אלגוריתמים מתקדמים של למידת מכונה כדי לזהות התנהגות חריגה.

    להלן כמה מהתובנות המוצגות:

    • מוניטין של Microsoft Defender Threat Intelligence.
    • כתובת ה- IP הכוללת של הווירוס.
    • כתובת IP עתידית מוקלטת.
    • כתובת IP של אנומליה
    • AbuseIPDB.
    • חריגות נספרות לפי כתובת IP.
    • בדיקת תעבורת רשת.
    • חיבורים מרוחקים של כתובות IP עם התאמת TI.
    • חיבורים מרוחקים של כתובות IP.
    • לאי.פי.אי זה יש התאמת TI.
    • תובנות מרשימת המעקב (תצוגה מקדימה).

    התובנות מבוססות על מקורות הנתונים הבאים:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra ID)
    • SigninLogs (מזהה Microsoft Entra)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • Heartbeat (Azure Monitor Agent)
    • CommonSecurityLog (Microsoft Sentinel)

    אם ברצונך להמשיך ולחקור אחת מהתובנות בלוח זה, בחר את הקישור הנלווה לתובנות. הקישור מוביל אותך לדף ' ציד מתקדם ', שבו הוא מציג את השאילתה המשמשת בסיס לתובנות, יחד עם התוצאות הגולמיות שלה. באפשרותך לשנות את השאילתה או להסתעף לתוצאות כדי להרחיב את החקירה או פשוט לספק את הסקרנות שלך.

    פעולות תגובה

    פעולות תגובה מציעות קיצורי דרך לניתוח, לחקור ולהתגונן מפני איומים.

    פעולות תגובה פועלים לאורך החלק העליון של דף ישות IP ספציפי וכוללות:

    פעולה תיאור
    הוסף מחוון פתיחת אשף שבו תוכל להוסיף כתובת IP זו כמחוון לסכנה (IoC) לבסיס הידע של Threat Intelligence.
    פתיחת הגדרות IP של אפליקציית ענן פתיחת מסך התצורה של טווחי כתובות ה- IP להוספת כתובת ה- IP אליה.
    בדוק ביומן הפעילות פתיחת מסך יומן הפעילות של Microsoft 365 כדי שתוכל לחפש את כתובת ה- IP ביומני רישום אחרים.
    לך לצוד פתיחת דף הציד המתקדם , עם שאילתת ציד מוכללת כדי למצוא מופעים של כתובת IP זו.

    עצה

    האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילה הטכנית שלנו: Microsoft Defender for Endpoint Tech Community.