Pagina dell'entità indirizzo IP in Microsoft Defender
La pagina dell'entità indirizzo IP nel portale di Microsoft Defender consente di esaminare le possibili comunicazioni tra i dispositivi e gli indirizzi IP esterni.
L'identificazione di tutti i dispositivi nell'organizzazione che hanno comunicato con un indirizzo IP dannoso sospetto o noto, ad esempio i server di comando e controllo (C2), consente di determinare il potenziale ambito di violazione, i file associati e i dispositivi infetti.
È possibile trovare informazioni dalle sezioni seguenti nella pagina dell'entità indirizzo IP:
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma di operazioni di sicurezza unificata di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Nel riquadro sinistro, la pagina Panoramica fornisce un riepilogo dei dettagli IP (se disponibili).
Sezione | Dettagli |
---|---|
Informazioni di sicurezza | |
Dettagli IP |
Sul lato sinistro è inoltre disponibile un pannello che mostra l'attività log (ora di visualizzazione/ultima visualizzazione, origine dati) raccolta da diverse origini di log e un altro pannello che mostra un elenco di host registrati raccolti dalle tabelle heartbeat dell'agente di monitoraggio di Azure.
Il corpo principale della pagina Panoramica contiene schede dashboard che mostrano un numero di eventi imprevisti e avvisi (raggruppati in base alla gravità) contenenti l'indirizzo IP e un grafico della prevalenza dell'indirizzo IP nell'organizzazione nel periodo di tempo indicato.
La pagina Eventi imprevisti e avvisi mostra un elenco di eventi imprevisti e avvisi che includono l'indirizzo IP come parte della loro storia. Questi eventi imprevisti e avvisi provengono da una qualsiasi delle origini di rilevamento Microsoft Defender, tra cui, se onboarding, Microsoft Sentinel. Questo elenco è una versione filtrata della coda degli eventi imprevisti e mostra una breve descrizione dell'evento imprevisto o dell'avviso, la relativa gravità (alta, media, bassa, informativa), lo stato nella coda (nuovo, in corso, risolto), la classificazione (non impostata, avviso falso, avviso vero), lo stato di indagine, la categoria, l'utente assegnato per risolverlo e l'ultima attività osservata.
È possibile personalizzare le colonne visualizzate per ogni elemento. È anche possibile filtrare gli avvisi in base a gravità, stato o qualsiasi altra colonna nella visualizzazione.
La colonna asset interessati si riferisce a tutte le entità a cui si fa riferimento nell'evento imprevisto o nell'avviso.
Quando si seleziona un evento imprevisto o un avviso, viene visualizzato un riquadro a comparsa. Da questo pannello è possibile gestire l'evento imprevisto o l'avviso e visualizzare altri dettagli, ad esempio il numero di evento imprevisto/avviso e i dispositivi correlati. È possibile selezionare più avvisi alla volta.
Per visualizzare una visualizzazione a pagina intera di un evento imprevisto o di un avviso, selezionarne il titolo.
La sezione Osservata nell'organizzazione fornisce un elenco di dispositivi che hanno una connessione con questo IP e gli ultimi dettagli dell'evento per ogni dispositivo (l'elenco è limitato a 100 dispositivi).
Se l'organizzazione ha eseguito l'onboarding Microsoft Sentinel nel portale di Defender, questa scheda aggiuntiva si trova nella pagina dell'entità indirizzo IP. Questa scheda importa la pagina dell'entità IP da Microsoft Sentinel.
Questa sequenza temporale mostra gli avvisi associati all'entità indirizzo IP. Questi avvisi includono quelli visualizzati nella scheda Eventi imprevisti e avvisi e quelli creati da Microsoft Sentinel da origini dati non Microsoft di terze parti.
Questa sequenza temporale mostra anche le ricerche con segnalibro provenienti da altre indagini che fanno riferimento a questa entità IP, eventi di attività IP da origini dati esterne e comportamenti insoliti rilevati dalle regole di anomalia di Microsoft Sentinel.
Le informazioni dettagliate sulle entità sono query definite dai ricercatori di sicurezza Microsoft che consentono di analizzare in modo più efficiente ed efficace. Queste informazioni dettagliate pongono automaticamente domande importanti sull'entità IP, fornendo informazioni di sicurezza preziose sotto forma di dati tabulari e grafici. Le informazioni dettagliate includono i dati provenienti da varie origini di intelligence sulle minacce IP, l'ispezione del traffico di rete e altro ancora e includono algoritmi di Machine Learning avanzati per rilevare comportamenti anomali.
Di seguito sono riportate alcune delle informazioni dettagliate visualizzate:
- Microsoft Defender Threat Intelligence reputazione.
- Indirizzo IP totale virus.
- Indirizzo IP futuro registrato.
- Indirizzo IP anomalie
- AbuseIPDB.
- Numero di anomalie in base all'indirizzo IP.
- Ispezione del traffico di rete.
- Le connessioni remote degli indirizzi IP con TI corrispondono.
- Connessioni remote degli indirizzi IP.
- Questo INDIRIZZO IP ha una corrispondenza TI.
- Informazioni dettagliate watchlist (anteprima).
Le informazioni dettagliate si basano sulle origini dati seguenti:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (agente di Monitoraggio di Azure)
- CommonSecurityLog (Microsoft Sentinel)
Per esplorare ulteriormente una delle informazioni dettagliate in questo pannello, selezionare il collegamento che accompagna le informazioni dettagliate. Il collegamento consente di passare alla pagina Ricerca avanzata , in cui viene visualizzata la query sottostante le informazioni dettagliate, insieme ai relativi risultati non elaborati. È possibile modificare la query o eseguire il drill-down dei risultati per espandere l'indagine o semplicemente soddisfare la curiosità.
Le azioni di risposta offrono collegamenti per analizzare, analizzare e difendere dalle minacce.
Le azioni di risposta vengono eseguite lungo la parte superiore di una pagina di entità IP specifica e includono:
Azione | Descrizione |
---|---|
Aggiungere un indicatore | Apre una procedura guidata per aggiungere questo indirizzo IP come indicatore di compromissione (IoC) alla knowledge base di Threat Intelligence. |
Aprire le impostazioni IP dell'app cloud | Apre la schermata di configurazione degli intervalli di indirizzi IP per potervi aggiungere l'indirizzo IP. |
Analizzare nel log attività | Apre la schermata del log attività di Microsoft 365 per cercare l'indirizzo IP in altri log. |
Iniziare la ricerca | Apre la pagina Ricerca avanzata con una query di ricerca predefinita per trovare istanze di questo indirizzo IP. |
- panoramica Microsoft Defender XDR
- Attivare Microsoft Defender XDR
- Pagina dell'entità dispositivo in Microsoft Defender
- Pagina dell'entità utente in Microsoft Defender
- integrazione Microsoft Defender XDR con Microsoft Sentinel
- Connettere Microsoft Sentinel a Microsoft Defender XDR
Suggerimento
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.