Enhetsside for IP-adresse i Microsoft Defender
Enhetssiden for IP-adressen i Microsoft Defender-portalen hjelper deg med å undersøke mulig kommunikasjon mellom enhetene dine og IP-adresser (external Internet Protocol).
Identifisering av alle enheter i organisasjonen som kommuniserte med en mistenkt eller kjent ondsinnet IP-adresse, for eksempel kommando- og kontrollservere (C2), bidrar til å fastslå det potensielle omfanget av brudd, tilknyttede filer og infiserte enheter.
Du finner informasjon fra følgende deler på enhetssiden for IP-adressen:
Viktig
Microsoft Sentinel er generelt tilgjengelig i Microsofts plattform for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. For forhåndsvisning er Microsoft Sentinel tilgjengelig i Defender-portalen uten Microsoft Defender XDR eller en E5-lisens. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel i Microsoft Defender portalen.
I den venstre ruten gir Oversikt-siden et sammendrag av IP-detaljer (hvis tilgjengelig).
Seksjon | Detaljer |
---|---|
Sikkerhetsinformasjon | |
IP-detaljer |
Venstre side har også et panel som viser loggaktivitet (tid som først ble sett/sist sett, datakilde) samlet inn fra flere loggkilder, og et annet panel som viser en liste over loggførte verter samlet inn fra Azure Monitoring Agent hjerteslagstabeller.
Hoveddelen av Oversikt-siden inneholder instrumentbordkort som viser antall hendelser og varsler (gruppert etter alvorlighetsgrad) som inneholder IP-adressen, og et diagram over utbredelsen av IP-adressen i organisasjonen i løpet av den angitte tidsperioden.
Siden Hendelser og varsler viser en liste over hendelser og varsler som inkluderer IP-adressen som en del av historien deres. Disse hendelsene og varslene kommer fra en rekke Microsoft Defender gjenkjenningskilder, inkludert, hvis de er pålastet, Microsoft Sentinel. Denne listen er en filtrert versjon av hendelseskøen, og viser en kort beskrivelse av hendelsen eller varselet, alvorlighetsgraden (høy, middels, lav, informasjonsmessig), statusen i køen (ny, pågår, løst), klassifiseringen (ikke angitt, falsk varsling, true alert), undersøkelsestilstand, kategori, hvem som er tilordnet for å løse den, og siste aktivitet observert.
Du kan tilpasse hvilke kolonner som vises for hvert element. Du kan også filtrere varslene etter alvorsgrad, status eller andre kolonner i visningen.
Kolonnen for berørte aktiva refererer til alle brukere, programmer og andre enheter som det refereres til i hendelsen eller varselet.
Når en hendelse eller et varsel er valgt, vises en undermeny. Fra dette panelet kan du administrere hendelsen eller varselet og vise flere detaljer, for eksempel hendelse/varselnummer og relaterte enheter. Du kan velge flere varsler om gangen.
Hvis du vil se en hel sidevisning av en hendelse eller et varsel, velger du tittelen.
Delen Observert i organisasjonen inneholder en liste over enheter som har en tilkobling til denne IP-en og de siste hendelsesdetaljene for hver enhet (listen er begrenset til 100 enheter).
Hvis organisasjonens innebygde Microsoft Sentinel til Defender-portalen, er denne ekstra fanen på enhetssiden for IP-adressen. Denne fanen importerer IP-enhetssiden fra Microsoft Sentinel.
Denne tidslinjen viser varsler som er knyttet til IP-adresseenheten. Disse varslene inkluderer de som vises på hendelser og varsler-fanen, og de som er opprettet av Microsoft Sentinel fra tredjeparts, ikke-Microsoft-datakilder.
Denne tidslinjen viser også bokmerkede jakter fra andre undersøkelser som refererer til denne IP-enheten, IP-aktivitetshendelser fra eksterne datakilder og uvanlig atferd som oppdages av avviksreglene til Microsoft Sentinel.
Enhetsinnsikt er spørringer definert av Microsofts sikkerhetsforskere for å hjelpe deg med å undersøke mer effektivt og mer effektivt. Denne innsikten stiller automatisk de store spørsmålene om IP-enheten din, og gir verdifull sikkerhetsinformasjon i form av tabelldata og diagrammer. Innsikten inkluderer data fra ulike IP-trusselintelligenskilder, nettverkstrafikkinspeksjon og mer, og inkluderer avanserte maskinlæringsalgoritmer for å oppdage uregelmessig atferd.
Følgende er noen av innsiktene som vises:
- Microsoft Defender trusselinformasjon omdømme.
- Totalt antall IP-adresser for virus.
- Registrert fremtidig IP-adresse.
- Avviks-IP-adresse
- AbuseIPDB.
- Avvik teller etter IP-adresse.
- Nettverkstrafikkinspeksjon.
- Eksterne IP-adressetilkoblinger med TI-samsvar.
- Eksterne IP-adressetilkoblinger.
- Denne IP-adressen har et TI-treff.
- Visningslisteinnsikt (forhåndsvisning).
Innsiktene er basert på følgende datakilder:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Azure Monitor Agent)
- CommonSecurityLog (Microsoft Sentinel)
Hvis du vil utforske noen av innsiktene i dette panelet ytterligere, velger du koblingen som følger med innsikten. Koblingen tar deg til avansert jakt-siden , der den viser spørringen som ligger under innsikten, sammen med de rå resultatene. Du kan endre spørringen eller drille ned i resultatene for å utvide undersøkelsen eller bare tilfredsstille nysgjerrigheten din.
Responshandlinger tilbyr snarveier for å analysere, undersøke og forsvare seg mot trusler.
Svarhandlinger kjører øverst på en bestemt IP-enhetsside og inkluderer:
Handling | Beskrivelse |
---|---|
Legg til indikator | Åpner en veiviser for å legge til denne IP-adressen som en indikator for kompromiss (IoC) i kunnskapsbasen for trusselintelligens. |
Åpne IP-innstillinger for skyapp | Åpner konfigurasjonsskjermen for IP-adresseområder for å legge til IP-adressen i den. |
Undersøk i aktivitetslogg | Åpner aktivitetsloggskjermbildet for Microsoft 365 slik at du kan se etter IP-adressen i andre logger. |
Gå på jakt | Åpner avansert jaktside med en innebygd jaktspørring for å finne forekomster av denne IP-adressen. |
- Microsoft Defender XDR oversikt
- Slå på Microsoft Defender XDR
- Enhetsside i Microsoft Defender
- Brukerenhetsside i Microsoft Defender
- Microsoft Defender XDR integrering med Microsoft Sentinel
- Koble Microsoft Sentinel til Microsoft Defender XDR
Tips
Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.