Megosztás a következőn keresztül:

IP-cím entitáslapja a Microsoft Defenderben

  • Cikk
  • A következőre érvényes::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Defender portál IP-cím entitáslapja segít megvizsgálni az eszközök és a külső ip-címek közötti lehetséges kommunikációt.

A szervezet összes olyan eszközének azonosítása, amely gyanús vagy ismert kártékony IP-címmel kommunikált, például a Parancs- és vezérlési (C2) kiszolgálókkal, segít meghatározni a biztonsági incidensek, a kapcsolódó fájlok és a fertőzött eszközök lehetséges hatókörét.

Az IP-cím entitás oldalán a következő szakaszokban talál információkat:

Fontos

A Microsoft Sentinel az egyesített biztonsági műveleti platform részeként érhető el a Microsoft Defender portálon. A Microsoft Sentinel a Defender portálon mostantól éles környezetben is használható. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Áttekintés

A bal oldali ablaktáblán az Áttekintés oldal az IP-adatok összegzését tartalmazza (ha elérhető).

Szakasz Részletek
Biztonsági adatok
  • Nyitott incidensek
  • Aktív riasztások
    		•
    IP-cím részletei
  • Szervezet (ISP)
  • ASN
  • Ország/régió, állam, város
  • Fuvarozó
  • Szélesség és hosszúság
  • Irányítószám
    		•

    A bal oldalon egy panel is található, amelyen több naplóforrásból gyűjtött naplótevékenység (az első megtekintés/utolsó megtekintés időpontja, adatforrás) látható, egy másik panel pedig az Azure Monitoring Agent szívverési tábláiból gyűjtött naplózott gazdagépek listáját mutatja.

    Az Áttekintés oldal fő törzse irányítópult-kártyákat tartalmaz, amelyek az IP-címet tartalmazó incidensek és riasztások számát (súlyosság szerint csoportosítva) és egy diagramot tartalmaznak az IP-cím előfordulási gyakoriságáról a szervezetben a megadott időszakban.

    Incidensek és riasztások

    Az Incidensek és riasztások oldal megjeleníti azoknak az incidenseknek és riasztásoknak a listáját, amelyek a történetük részeként tartalmazzák az IP-címet. Ezek az incidensek és riasztások számos Microsoft Defender-észlelési forrásból származnak, beleértve a Microsoft Sentinelt is, ha előkészítették őket. Ez a lista az incidensek várólistájának szűrt verziója, és megjeleníti az incidens vagy riasztás rövid leírását, súlyosságát (magas, közepes, alacsony, tájékoztató), állapotát az üzenetsorban (új, folyamatban, feloldva), besorolását (nincs beállítva, hamis riasztás, valódi riasztás), vizsgálati állapotot, kategóriát, a címzetthez rendelt kategóriát és a legutóbbi megfigyelt tevékenységet.

    Testre szabhatja, hogy mely oszlopok jelenjenek meg az egyes elemekhez. A riasztásokat súlyosság, állapot vagy a megjelenítés bármely más oszlopa alapján is szűrheti.

    Az érintett adategységek oszlop az incidensben vagy riasztásban hivatkozott összes felhasználóra, alkalmazásra és egyéb entitásra vonatkozik.

    Incidens vagy riasztás kiválasztásakor egy úszó panel jelenik meg. Ezen a panelen kezelheti az incidenst vagy riasztást, és további részleteket tekinthet meg, például az incidensek/riasztások számát és a kapcsolódó eszközöket. Egyszerre több riasztás is kiválasztható.

    Egy incidens vagy riasztás teljes oldalnézetének megtekintéséhez válassza ki a címét.

    Szervezeten belül megfigyelve

    A Megfigyelve a szervezetben szakasz felsorolja azokat az eszközöket, amelyek kapcsolatban állnak ezzel az IP-címmel, valamint az egyes eszközök utolsó eseményadatait (a lista legfeljebb 100 eszközt tartalmaz).

    Sentinel-események

    Ha a szervezete előkészítette a Microsoft Sentinelt a Defender portálra, ez a további lap az IP-cím entitás oldalán található. Ez a lap importálja az IP-entitáslapot a Microsoft Sentinelből.

    Sentinel idővonala

    Ez az idősor az IP-cím entitáshoz társított riasztásokat jeleníti meg. Ezek a riasztások közé tartoznak az Incidensek és riasztások lapon, valamint a Microsoft Sentinel által külső, nem Microsoft-adatforrásokból létrehozott riasztások.

    Ez az idősor az ip-entitásra hivatkozó más vizsgálatok könyvjelzővel rendelkező vadászatait , a külső adatforrásokból származó IP-tevékenységeseményeket és a Microsoft Sentinel anomáliái által észlelt szokatlan viselkedéseket is bemutatja.

    Betekintést

    Az entitáselemzések a Microsoft biztonsági kutatói által definiált lekérdezések, amelyek segítenek a hatékonyabb és hatékonyabb vizsgálatban. Ezek az elemzések automatikusan felteik az IP-entitással kapcsolatos nagy kérdéseket, és táblázatos adatok és diagramok formájában értékes biztonsági információkat nyújtanak. Az elemzések többek között különböző IP-fenyegetésfelderítési forrásokból származó adatokat, hálózati forgalomvizsgálatot és fejlett gépi tanulási algoritmusokat tartalmaznak a rendellenes viselkedés észleléséhez.

    Az alábbiakban néhány megállapítás látható:

    • A Microsoft Defender fenyegetésfelderítési hírnevét.
    • Vírus teljes IP-címe.
    • Rögzített jövőbeli IP-cím.
    • Anomali IP-cím
    • AbuseIPDB.
    • Az anomáliák IP-cím szerint számlálnak.
    • Hálózati forgalom vizsgálata.
    • IP-cím távoli kapcsolatai TI-egyezéssel.
    • IP-cím távoli kapcsolatai.
    • Ennek az IP-címnek TI-egyezése van.
    • Figyelőlista-elemzések (előzetes verzió).

    Az elemzések a következő adatforrásokon alapulnak:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra ID)
    • SigninLogs (Microsoft Entra ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • Szívverés (Azure Monitor-ügynök)
    • CommonSecurityLog (Microsoft Sentinel)

    Ha további elemzéseket szeretne végezni ezen a panelen, válassza az elemzéshez tartozó hivatkozást. A hivatkozás a Speciális veszélyforrás-keresés oldalra irányítja, ahol megjeleníti a megállapítás alapjául szolgáló lekérdezést és annak nyers eredményeit. Módosíthatja a lekérdezést, vagy részletezheti az eredményeket a vizsgálat kibontásához, vagy csak kielégítheti a kíváncsiságát.

    Válaszműveletek

    A válaszműveletek billentyűparancsokat kínálnak a fenyegetések elemzéséhez, kivizsgálásához és elleni védekezéshez.

    A válaszműveletek egy adott IP-entitás oldalának tetején futnak, és a következőket tartalmazzák:

    Művelet Leírás
    Mutató hozzáadása Megnyitja a varázslót, hogy ezt az IP-címet biztonsági rés jelzéseként (IoC) adja hozzá a fenyegetésfelderítési tudásbázishoz.
    A felhőalkalmazás IP-beállításainak megnyitása Megnyitja az IP-címtartományok konfigurációs képernyőt, hogy hozzáadja az IP-címet.
    Vizsgálat a tevékenységnaplóban Megnyitja a Microsoft 365 Tevékenységnapló képernyőt, és megkeresi az IP-címet más naplókban.
    Go hunt Megnyitja a Speciális veszélyforrás-keresés lapot egy beépített veszélyforrás-keresési lekérdezéssel az IP-cím példányainak megkereséséhez.

    Tipp

    Szeretne többet megtudni? Vegye fel a kapcsolatot a Microsoft Security közösségével a technikai közösségünkben: Microsoft Defender for Endpoint Tech Community.