AZ IP-cím entitáslapja a Microsoft Defender
A Microsoft Defender portál IP-cím entitáslapja segít megvizsgálni az eszközök és a külső ip-címek közötti lehetséges kommunikációt.
A szervezet összes olyan eszközének azonosítása, amely gyanús vagy ismert kártékony IP-címmel kommunikált, például a Parancs- és vezérlési (C2) kiszolgálókkal, segít meghatározni a biztonsági incidensek, a kapcsolódó fájlok és a fertőzött eszközök lehetséges hatókörét.
Az IP-cím entitás oldalán a következő szakaszokban talál információkat:
Fontos
Microsoft Sentinel általánosan elérhető a Microsoft egységes biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel Microsoft Defender XDR vagy E5 licenc nélkül érhető el a Defender portálon. További információ: Microsoft Sentinel az Microsoft Defender portálon.
A bal oldali ablaktáblán az Áttekintés oldal az IP-adatok összegzését tartalmazza (ha elérhető).
Szakasz | Részletek |
---|---|
Biztonsági adatok | |
IP-cím részletei |
A bal oldalon egy panel is található, amelyen több naplóforrásból gyűjtött naplótevékenység (az első megtekintés/utolsó megtekintés időpontja, adatforrás) látható, egy másik panel pedig az Azure Monitoring Agent szívverési tábláiból gyűjtött naplózott gazdagépek listáját mutatja.
Az Áttekintés oldal fő törzse irányítópult-kártyákat tartalmaz, amelyek az IP-címet tartalmazó incidensek és riasztások számát (súlyosság szerint csoportosítva) és egy diagramot tartalmaznak az IP-cím előfordulási gyakoriságáról a szervezetben a megadott időszakban.
Az Incidensek és riasztások oldal megjeleníti azoknak az incidenseknek és riasztásoknak a listáját, amelyek a történetük részeként tartalmazzák az IP-címet. Ezek az incidensek és riasztások számos Microsoft Defender észlelési forrásból származnak, beleértve, ha előkészítették, Microsoft Sentinel. Ez a lista az incidensek várólistájának szűrt verziója, és megjeleníti az incidens vagy riasztás rövid leírását, súlyosságát (magas, közepes, alacsony, tájékoztató), állapotát az üzenetsorban (új, folyamatban, feloldva), besorolását (nincs beállítva, hamis riasztás, valódi riasztás), vizsgálati állapotot, kategóriát, a címzetthez rendelt kategóriát és a legutóbbi megfigyelt tevékenységet.
Testre szabhatja, hogy mely oszlopok jelenjenek meg az egyes elemekhez. A riasztásokat súlyosság, állapot vagy a megjelenítés bármely más oszlopa alapján is szűrheti.
Az érintett adategységek oszlop az incidensben vagy riasztásban hivatkozott összes felhasználóra, alkalmazásra és egyéb entitásra vonatkozik.
Incidens vagy riasztás kiválasztásakor egy úszó panel jelenik meg. Ezen a panelen kezelheti az incidenst vagy riasztást, és további részleteket tekinthet meg, például az incidensek/riasztások számát és a kapcsolódó eszközöket. Egyszerre több riasztás is kiválasztható.
Egy incidens vagy riasztás teljes oldalnézetének megtekintéséhez válassza ki a címét.
A Megfigyelve a szervezetben szakasz felsorolja azokat az eszközöket, amelyek kapcsolatban állnak ezzel az IP-címmel, valamint az egyes eszközök utolsó eseményadatait (a lista legfeljebb 100 eszközt tartalmaz).
Ha a szervezete Microsoft Sentinel a Defender portálra, ez a további lap az IP-cím entitáslapján található. Ez a lap importálja az IP-entitáslapot Microsoft Sentinel.
Ez az idősor az IP-cím entitáshoz társított riasztásokat jeleníti meg. Ezek a riasztások közé tartoznak az Incidensek és riasztások lapon, valamint a külső, nem Microsoft-adatforrásokból származó Microsoft Sentinel által létrehozott riasztások.
Ez az idősor az ip-entitásra hivatkozó más vizsgálatok könyvjelzővel rendelkező vadászatait, a külső adatforrásokból származó IP-tevékenységeseményeket, valamint a Microsoft Sentinel anomáliái által észlelt szokatlan viselkedéseket is megjeleníti.
Az entitáselemzések a Microsoft biztonsági kutatói által definiált lekérdezések, amelyek segítenek a hatékonyabb és hatékonyabb vizsgálatban. Ezek az elemzések automatikusan felteik az IP-entitással kapcsolatos nagy kérdéseket, és táblázatos adatok és diagramok formájában értékes biztonsági információkat nyújtanak. Az elemzések többek között különböző IP-fenyegetésfelderítési forrásokból származó adatokat, hálózati forgalomvizsgálatot és fejlett gépi tanulási algoritmusokat tartalmaznak a rendellenes viselkedés észleléséhez.
Az alábbiakban néhány megállapítás látható:
- Microsoft Defender Intelligens veszélyforrás-felderítés hírnév.
- Vírus teljes IP-címe.
- Rögzített jövőbeli IP-cím.
- Anomali IP-cím
- AbuseIPDB.
- Az anomáliák IP-cím szerint számlálnak.
- Hálózati forgalom vizsgálata.
- IP-cím távoli kapcsolatai TI-egyezéssel.
- IP-cím távoli kapcsolatai.
- Ennek az IP-címnek TI-egyezése van.
- Figyelőlista-elemzések (előzetes verzió).
Az elemzések a következő adatforrásokon alapulnak:
- Syslog (Linux)
- SecurityEvent (Windows)
- Naplók (Microsoft Entra ID)
- Bejelentkezési naplók (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Szívverés (Azure Monitor-ügynök)
- CommonSecurityLog (Microsoft Sentinel)
Ha további elemzéseket szeretne végezni ezen a panelen, válassza az elemzéshez tartozó hivatkozást. A hivatkozás a Speciális veszélyforrás-keresés oldalra irányítja, ahol megjeleníti a megállapítás alapjául szolgáló lekérdezést és annak nyers eredményeit. Módosíthatja a lekérdezést, vagy részletezheti az eredményeket a vizsgálat kibontásához, vagy csak kielégítheti a kíváncsiságát.
A válaszműveletek billentyűparancsokat kínálnak a fenyegetések elemzéséhez, kivizsgálásához és elleni védekezéshez.
A válaszműveletek egy adott IP-entitás oldalának tetején futnak, és a következőket tartalmazzák:
Művelet | Leírás |
---|---|
Mutató hozzáadása | Megnyitja a varázslót, hogy ezt az IP-címet biztonsági rés jelzéseként (IoC) adja hozzá a fenyegetésfelderítési tudásbázishoz. |
A felhőalkalmazás IP-beállításainak megnyitása | Megnyitja az IP-címtartományok konfigurációs képernyőt, hogy hozzáadja az IP-címet. |
Vizsgálat a tevékenységnaplóban | Megnyitja a Microsoft 365 Tevékenységnapló képernyőt, és megkeresi az IP-címet más naplókban. |
Go hunt | Megnyitja a Speciális veszélyforrás-keresés lapot egy beépített veszélyforrás-keresési lekérdezéssel az IP-cím példányainak megkereséséhez. |
- Microsoft Defender XDR áttekintése
- A Microsoft Defender XDR bekapcsolása
- Eszközentitás lap a Microsoft Defender
- Felhasználói entitás lap a Microsoft Defender
- Microsoft Defender XDR integráció a Microsoft Sentinel
- A Microsoft Sentinel csatlakoztatása Microsoft Defender XDR-hez
Tipp.
Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.