Microsoft Defender IP 주소 엔터티 페이지
Microsoft Defender 포털의 IP 주소 엔터티 페이지는 디바이스와 IP(외부 인터넷 프로토콜) 주소 간의 가능한 통신을 검사하는 데 도움이 됩니다.
C2(명령 및 제어) 서버와 같이 의심되거나 알려진 악성 IP 주소와 통신한 organization 모든 디바이스를 식별하면 위반, 관련 파일 및 감염된 디바이스의 잠재적 scope 확인하는 데 도움이 됩니다.
IP 주소 엔터티 페이지에서 다음 섹션에서 정보를 찾을 수 있습니다.
중요
Microsoft Sentinel 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기의 경우 Microsoft Sentinel Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel 참조하세요.
왼쪽 창에서 개요 페이지에서 IP 세부 정보(사용 가능한 경우)에 대한 요약을 제공합니다.
섹션 | 세부 정보 |
---|---|
보안 정보 | |
IP 세부 정보 |
왼쪽에는 여러 로그 원본에서 수집된 로그 작업(처음 보거나 마지막으로 본 시간, 데이터 원본)을 보여 주는 패널과 Azure Monitoring Agent 하트비트 테이블에서 수집된 기록된 호스트 목록을 보여 주는 다른 패널도 있습니다.
개요 페이지의 기본 본문에는 IP 주소를 포함하는 인시던트 및 경고 수(심각도별로 그룹화됨)와 지정된 기간 동안 organization IP 주소의 보급 차트를 보여 주는 dashboard 카드가 포함되어 있습니다.
인시던트 및 경고 페이지에는 IP 주소를 스토리의 일부로 포함하는 인시던트 및 경고 목록이 표시됩니다. 이러한 인시던트 및 경고는 온보딩된 경우 Microsoft Sentinel 포함하여 다양한 Microsoft Defender 검색 원본에서 제공됩니다. 이 목록은 인시던트 큐의 필터링된 버전이며 인시던트 또는 경고, 심각도(높음, 중간, 낮음, 정보), 큐의 상태(신규, 진행 중, 해결됨), 분류(설정되지 않음, 거짓 경고, 실제 경고), 조사 상태, 범주, 처리하도록 할당된 사람 및 관찰된 마지막 활동에 대한 간략한 설명을 보여 줍니다.
각 항목에 대해 표시되는 열을 사용자 지정할 수 있습니다. 심각도, 상태 또는 디스플레이의 다른 열을 기준으로 경고를 필터링할 수도 있습니다.
영향을 받은 자산 열은 인시던트 또는 경고에서 참조되는 모든 사용자, 애플리케이션 및 기타 엔터티를 나타냅니다.
인시던트 또는 경고를 선택하면 플라이아웃이 나타납니다. 이 패널에서 인시던트 또는 경고를 관리하고 인시던트/경고 번호 및 관련 디바이스와 같은 자세한 정보를 볼 수 있습니다. 한 번에 여러 경고를 선택할 수 있습니다.
인시던트 또는 경고의 전체 페이지 보기를 보려면 제목을 선택합니다.
organization 관찰됨 섹션에서는 이 IP와 연결된 디바이스 목록과 각 디바이스에 대한 마지막 이벤트 세부 정보(목록은 100개 디바이스로 제한됨)를 제공합니다.
organization Defender 포털에 Microsoft Sentinel 온보딩된 경우 이 추가 탭은 IP 주소 엔터티 페이지에 있습니다. 이 탭은 Microsoft Sentinel IP 엔터티 페이지를 가져옵니다.
이 타임라인 IP 주소 엔터티와 연결된 경고를 표시합니다. 이러한 경고에는 인시던트 및 경고 탭에 표시되는 경고와 타사, 타사 데이터 원본에서 Microsoft Sentinel 만든 경고가 포함됩니다.
이 타임라인 또한 이 IP 엔터티를 참조하는 다른 조사의 책갈피가 지정된 헌팅, 외부 데이터 원본의 IP 활동 이벤트 및 Microsoft Sentinel 변칙 규칙에서 검색된 비정상적인 동작을 보여 줍니다.
엔터티 인사이트는 보다 효율적이고 효과적으로 조사할 수 있도록 Microsoft 보안 연구원이 정의한 쿼리입니다. 이러한 인사이트는 IP 엔터티에 대한 큰 질문을 자동으로 제공하여 테이블 형식 데이터 및 차트 형태로 중요한 보안 정보를 제공합니다. 인사이트에는 다양한 IP 위협 인텔리전스 원본, 네트워크 트래픽 검사 등의 데이터가 포함되며 비정상적인 동작을 감지하는 고급 기계 학습 알고리즘이 포함됩니다.
다음은 표시된 몇 가지 인사이트입니다.
- Microsoft Defender 위협 인텔리전스 명성.
- 바이러스 총 IP 주소입니다.
- 기록된 이후 IP 주소입니다.
- Anomali IP 주소
- AbuseIPDB.
- IP 주소별 변칙 개수입니다.
- 네트워크 트래픽 검사.
- TI 일치를 사용하는 IP 주소 원격 연결입니다.
- IP 주소 원격 연결.
- 이 IP에는 TI 일치 항목이 있습니다.
- 관심 목록 인사이트(미리 보기).
인사이트는 다음 데이터 원본을 기반으로 합니다.
- Syslog(Linux)
- SecurityEvent(Windows)
- AuditLogs(Microsoft Entra ID)
- SigninLogs(Microsoft Entra ID)
- OfficeActivity(Office 365)
- BehaviorAnalytics(Microsoft Sentinel UEBA)
- 하트비트(Azure Monitor 에이전트)
- CommonSecurityLog(Microsoft Sentinel)
이 패널에서 인사이트를 자세히 살펴보려면 인사이트와 함께 링크를 선택합니다. 링크는 고급 헌팅 페이지로 이동하며, 여기서 원시 결과와 함께 인사이트의 기본 쿼리를 표시합니다. 쿼리를 수정하거나 결과를 드릴다운하여 조사를 확장하거나 호기심을 충족할 수 있습니다.
대응 작업은 위협을 분석, 조사 및 방어하는 바로 가기를 제공합니다.
응답 작업은 특정 IP 엔터티 페이지의 위쪽을 따라 실행되며 다음을 포함합니다.
작업 | 설명 |
---|---|
표시기 추가 | 이 IP 주소를 위협 인텔리전스 기술 자료에 IoC(손상 지표)로 추가할 수 있는 마법사를 엽니다. |
클라우드 앱 IP 설정 열기 | IP 주소를 추가할 수 있도록 IP 주소 범위 구성 화면을 엽니다. |
활동 로그에서 조사 | 다른 로그에서 IP 주소를 찾을 수 있도록 Microsoft 365 활동 로그 화면을 엽니다. |
탐색 | 이 IP 주소의 인스턴스를 찾기 위한 기본 제공 헌팅 쿼리가 있는 고급 헌 팅 페이지를 엽니다. |
- Microsoft Defender XDR 개요
- Microsoft Defender XDR 켜기
- Microsoft Defender 디바이스 엔터티 페이지
- Microsoft Defender 사용자 엔터티 페이지
- Microsoft Sentinel Microsoft Defender XDR 통합
- Microsoft Defender XDR에 Microsoft Sentinel 연결
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.