Condividi tramite

Pagina dell'entità indirizzo IP in Microsoft Defender

  • Articolo
  • Si applica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

La pagina dell'entità indirizzo IP nel portale di Microsoft Defender consente di esaminare le possibili comunicazioni tra i dispositivi e gli indirizzi IP (External Internet Protocol).

L'identificazione di tutti i dispositivi nell'organizzazione che hanno comunicato con un indirizzo IP dannoso sospetto o noto, ad esempio i server di comando e controllo (C2), consente di determinare il potenziale ambito di violazione, i file associati e i dispositivi infetti.

È possibile trovare informazioni dalle sezioni seguenti nella pagina dell'entità indirizzo IP:

Importante

Microsoft Sentinel è ora disponibile a livello generale all'interno della piattaforma di operazioni di sicurezza unificata Microsoft nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Panoramica

Nel riquadro sinistro, la pagina Panoramica fornisce un riepilogo dei dettagli IP (se disponibili).

Sezione Dettagli
Informazioni di sicurezza
  • Eventi imprevisti aperti
  • Avvisi attivi
    		•
    Dettagli IP
  • Organizzazione (ISP)
  • ASN
  • Paese/Area geografica, Stato, Città
  • Trasportatore
  • Latitudine e longitudine
  • Codice postale
    		•

    Sul lato sinistro è inoltre disponibile un pannello che mostra l'attività log (ora di visualizzazione/ultima visualizzazione, origine dati) raccolta da diverse origini di log e un altro pannello che mostra un elenco di host registrati raccolti dalle tabelle heartbeat dell'agente di monitoraggio di Azure.

    Il corpo principale della pagina Panoramica contiene schede dashboard che mostrano un numero di eventi imprevisti e avvisi (raggruppati in base alla gravità) contenenti l'indirizzo IP e un grafico della prevalenza dell'indirizzo IP nell'organizzazione nel periodo di tempo indicato.

    Eventi imprevisti e avvisi

    La pagina Eventi imprevisti e avvisi mostra un elenco di eventi imprevisti e avvisi che includono l'indirizzo IP come parte della loro storia. Questi eventi imprevisti e avvisi provengono da una qualsiasi delle origini di rilevamento di Microsoft Defender, tra cui, se è stato caricato, Microsoft Sentinel. Questo elenco è una versione filtrata della coda degli eventi imprevisti e mostra una breve descrizione dell'evento imprevisto o dell'avviso, la relativa gravità (alta, media, bassa, informativa), lo stato nella coda (nuovo, in corso, risolto), la classificazione (non impostata, avviso falso, avviso vero), lo stato di indagine, la categoria, l'utente assegnato per risolverlo e l'ultima attività osservata.

    È possibile personalizzare le colonne visualizzate per ogni elemento. È anche possibile filtrare gli avvisi in base a gravità, stato o qualsiasi altra colonna nella visualizzazione.

    La colonna asset interessati si riferisce a tutte le entità a cui si fa riferimento nell'evento imprevisto o nell'avviso.

    Quando si seleziona un evento imprevisto o un avviso, viene visualizzato un riquadro a comparsa. Da questo pannello è possibile gestire l'evento imprevisto o l'avviso e visualizzare altri dettagli, ad esempio il numero di evento imprevisto/avviso e i dispositivi correlati. È possibile selezionare più avvisi alla volta.

    Per visualizzare una visualizzazione a pagina intera di un evento imprevisto o di un avviso, selezionarne il titolo.

    Osservata nell'organizzazione

    La sezione Osservata nell'organizzazione fornisce un elenco di dispositivi che hanno una connessione con questo IP e gli ultimi dettagli dell'evento per ogni dispositivo (l'elenco è limitato a 100 dispositivi).

    Eventi sentinel

    Se l'organizzazione ha eseguito l'onboarding di Microsoft Sentinel nel portale di Defender, questa scheda aggiuntiva si trova nella pagina dell'entità indirizzo IP. Questa scheda importa la pagina dell'entità IP da Microsoft Sentinel.

    Sequenza temporale di Sentinel

    Questa sequenza temporale mostra gli avvisi associati all'entità indirizzo IP. Questi avvisi includono quelli visualizzati nella scheda Eventi imprevisti e avvisi e quelli creati da Microsoft Sentinel da origini dati non Microsoft di terze parti.

    Questa sequenza temporale mostra anche le ricerche con segnalibro provenienti da altre indagini che fanno riferimento a questa entità IP, gli eventi di attività IP da origini dati esterne e comportamenti insoliti rilevati dalle regole di anomalia di Microsoft Sentinel.

    Insights

    Le informazioni dettagliate sulle entità sono query definite dai ricercatori di sicurezza Microsoft che consentono di analizzare in modo più efficiente ed efficace. Queste informazioni dettagliate pongono automaticamente domande importanti sull'entità IP, fornendo informazioni di sicurezza preziose sotto forma di dati tabulari e grafici. Le informazioni dettagliate includono i dati provenienti da varie origini di intelligence sulle minacce IP, l'ispezione del traffico di rete e altro ancora e includono algoritmi di Machine Learning avanzati per rilevare comportamenti anomali.

    Di seguito sono riportate alcune delle informazioni dettagliate visualizzate:

    • Reputazione di Microsoft Defender Threat Intelligence.
    • Indirizzo IP totale virus.
    • Indirizzo IP futuro registrato.
    • Indirizzo IP anomalie
    • AbuseIPDB.
    • Numero di anomalie in base all'indirizzo IP.
    • Ispezione del traffico di rete.
    • Le connessioni remote degli indirizzi IP con TI corrispondono.
    • Connessioni remote degli indirizzi IP.
    • Questo INDIRIZZO IP ha una corrispondenza TI.
    • Informazioni dettagliate watchlist (anteprima).

    Le informazioni dettagliate si basano sulle origini dati seguenti:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (ID Microsoft Entra)
    • SigninLogs (ID Microsoft Entra)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (UEBA di Microsoft Sentinel)
    • Heartbeat (agente di Monitoraggio di Azure)
    • CommonSecurityLog (Microsoft Sentinel)

    Per esplorare ulteriormente una delle informazioni dettagliate in questo pannello, selezionare il collegamento che accompagna le informazioni dettagliate. Il collegamento consente di passare alla pagina Ricerca avanzata , in cui viene visualizzata la query sottostante le informazioni dettagliate, insieme ai relativi risultati non elaborati. È possibile modificare la query o eseguire il drill-down dei risultati per espandere l'indagine o semplicemente soddisfare la curiosità.

    Azioni di risposta

    Le azioni di risposta offrono collegamenti per analizzare, analizzare e difendere dalle minacce.

    Le azioni di risposta vengono eseguite lungo la parte superiore di una pagina di entità IP specifica e includono:

    Azione Descrizione
    Aggiungere un indicatore Apre una procedura guidata per aggiungere questo indirizzo IP come indicatore di compromissione (IoC) alla knowledge base di Threat Intelligence.
    Aprire le impostazioni IP dell'app cloud Apre la schermata di configurazione degli intervalli di indirizzi IP per potervi aggiungere l'indirizzo IP.
    Analizzare nel log attività Apre la schermata del log attività di Microsoft 365 per cercare l'indirizzo IP in altri log.
    Iniziare la ricerca Apre la pagina Ricerca avanzata con una query di ricerca predefinita per trovare istanze di questo indirizzo IP.

    Consiglio

    Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.