Microsoft Defender IP 주소 엔터티 페이지

  • 아티클
  • 적용 대상:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender 포털의 IP 주소 엔터티 페이지는 디바이스와 IP(외부 인터넷 프로토콜) 주소 간의 가능한 통신을 검사하는 데 도움이 됩니다.

C2(명령 및 제어) 서버와 같이 의심되거나 알려진 악성 IP 주소와 통신한 organization 모든 디바이스를 식별하면 위반, 관련 파일 및 감염된 디바이스의 잠재적 scope 확인하는 데 도움이 됩니다.

IP 주소 엔터티 페이지에서 다음 섹션에서 정보를 찾을 수 있습니다.

중요

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼에 대한 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 Microsoft Sentinel을 참조하세요.

개요

왼쪽 창에서 개요 페이지에서 IP 세부 정보(사용 가능한 경우)에 대한 요약을 제공합니다.

섹션 세부 정보
보안 정보
  • 인시던트 열기
  • 활성 경고
    		•
    IP 세부 정보
  • 조직(ISP)
  • Asn
  • 국가/지역, 주, 도시
  • 캐리어
  • 위도 및 경도
  • 우편 번호
    		•

    왼쪽에는 여러 로그 원본에서 수집된 로그 작업(처음 보거나 마지막으로 본 시간, 데이터 원본)을 보여 주는 패널과 Azure Monitoring Agent 하트비트 테이블에서 수집된 기록된 호스트 목록을 보여 주는 다른 패널도 있습니다.

    개요 페이지의 기본 본문에는 IP 주소를 포함하는 인시던트 및 경고 수(심각도별로 그룹화됨)와 지정된 기간 동안 organization IP 주소의 보급 차트를 보여 주는 dashboard 카드가 포함되어 있습니다.

    인시던트 및 경고

    인시던트 및 경고 페이지에는 IP 주소를 스토리의 일부로 포함하는 인시던트 및 경고 목록이 표시됩니다. 이러한 인시던트 및 경고는 온보딩된 경우 Microsoft Sentinel을 비롯한 여러 Microsoft Defender 검색 원본에서 제공됩니다. 이 목록은 인시던트 큐의 필터링된 버전이며 인시던트 또는 경고, 심각도(높음, 중간, 낮음, 정보), 큐의 상태(신규, 진행 중, 해결됨), 분류(설정되지 않음, 거짓 경고, 실제 경고), 조사 상태, 범주, 처리하도록 할당된 사람 및 관찰된 마지막 활동에 대한 간략한 설명을 보여 줍니다.

    각 항목에 대해 표시되는 열을 사용자 지정할 수 있습니다. 심각도, 상태 또는 디스플레이의 다른 열을 기준으로 경고를 필터링할 수도 있습니다.

    영향을 받은 자산 열은 인시던트 또는 경고에서 참조되는 모든 사용자, 애플리케이션 및 기타 엔터티를 나타냅니다.

    인시던트 또는 경고를 선택하면 플라이아웃이 나타납니다. 이 패널에서 인시던트 또는 경고를 관리하고 인시던트/경고 번호 및 관련 디바이스와 같은 자세한 정보를 볼 수 있습니다. 한 번에 여러 경고를 선택할 수 있습니다.

    인시던트 또는 경고의 전체 페이지 보기를 보려면 제목을 선택합니다.

    organization 관찰됨

    organization 관찰됨 섹션에서는 이 IP와 연결된 디바이스 목록과 각 디바이스에 대한 마지막 이벤트 세부 정보(목록은 100개 디바이스로 제한됨)를 제공합니다.

    Sentinel 이벤트

    organization Microsoft Sentinel을 Defender 포털에 온보딩한 경우 이 추가 탭은 IP 주소 엔터티 페이지에 있습니다. 이 탭은 Microsoft Sentinel에서 IP 엔터티 페이지를 가져옵니다.

    Sentinel 타임라인

    이 타임라인 IP 주소 엔터티와 연결된 경고를 표시합니다. 이러한 경고에는 인시던트 및 경고 탭에 표시되는 경고와 타사, 타사 Microsoft 데이터 원본에서 Microsoft Sentinel에서 만든 경고가 포함됩니다.

    또한 이 타임라인 이 IP 엔터티를 참조하는 다른 조사의 책갈피가 지정된 헌팅, 외부 데이터 원본의 IP 활동 이벤트 및 Microsoft Sentinel의 변칙 규칙에서 검색된 비정상적인 동작도 보여 줍니다.

    Insights

    엔터티 인사이트는 보다 효율적이고 효과적으로 조사할 수 있도록 Microsoft 보안 연구원이 정의한 쿼리입니다. 이러한 인사이트는 IP 엔터티에 대한 큰 질문을 자동으로 제공하여 테이블 형식 데이터 및 차트 형태로 중요한 보안 정보를 제공합니다. 인사이트에는 다양한 IP 위협 인텔리전스 원본, 네트워크 트래픽 검사 등의 데이터가 포함되며 비정상적인 동작을 감지하는 고급 기계 학습 알고리즘이 포함됩니다.

    다음은 표시된 몇 가지 인사이트입니다.

    • Microsoft Defender 위협 인텔리전스 명성.
    • 바이러스 총 IP 주소입니다.
    • 기록된 이후 IP 주소입니다.
    • Anomali IP 주소
    • AbuseIPDB.
    • IP 주소별 변칙 개수입니다.
    • 네트워크 트래픽 검사.
    • TI 일치를 사용하는 IP 주소 원격 연결입니다.
    • IP 주소 원격 연결.
    • 이 IP에는 TI 일치 항목이 있습니다.
    • 관심 목록 인사이트(미리 보기).

    인사이트는 다음 데이터 원본을 기반으로 합니다.

    • Syslog(Linux)
    • SecurityEvent(Windows)
    • AuditLogs(Microsoft Entra ID)
    • SigninLogs(Microsoft Entra ID)
    • OfficeActivity(Office 365)
    • BehaviorAnalytics(Microsoft Sentinel UEBA)
    • 하트비트(Azure Monitor 에이전트)
    • CommonSecurityLog(Microsoft Sentinel)

    이 패널에서 인사이트를 자세히 살펴보려면 인사이트와 함께 링크를 선택합니다. 링크는 고급 헌팅 페이지로 이동하며, 여기서 원시 결과와 함께 인사이트의 기본 쿼리를 표시합니다. 쿼리를 수정하거나 결과를 드릴다운하여 조사를 확장하거나 호기심을 충족할 수 있습니다.

    응답 작업

    대응 작업은 위협을 분석, 조사 및 방어하는 바로 가기를 제공합니다.

    응답 작업은 특정 IP 엔터티 페이지의 위쪽을 따라 실행되며 다음을 포함합니다.

    작업 설명
    표시기 추가 이 IP 주소를 위협 인텔리전스 기술 자료에 IoC(손상 지표)로 추가할 수 있는 마법사를 엽니다.
    클라우드 앱 IP 설정 열기 IP 주소를 추가할 수 있도록 IP 주소 범위 구성 화면을 엽니다.
    활동 로그에서 조사 다른 로그에서 IP 주소를 찾을 수 있도록 Microsoft 365 활동 로그 화면을 엽니다.
    탐색 이 IP 주소의 인스턴스를 찾기 위한 기본 제공 헌팅 쿼리가 있는 고급 헌 팅 페이지를 엽니다.

    더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.