Del via


Enhetsside for IP-adresse i Microsoft Defender

Enhetssiden for IP-adressen i Microsoft Defender-portalen hjelper deg med å undersøke mulig kommunikasjon mellom enhetene dine og IP-adresser (external Internet Protocol).

Identifisering av alle enheter i organisasjonen som kommuniserte med en mistenkt eller kjent ondsinnet IP-adresse, for eksempel kommando- og kontrollservere (C2), bidrar til å fastslå det potensielle omfanget av brudd, tilknyttede filer og infiserte enheter.

Du finner informasjon fra følgende deler på enhetssiden for IP-adressen:

Viktig

Microsoft Sentinel er nå generelt tilgjengelig i Microsofts plattform for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel i Microsoft Defender-portalen.

Oversikt

I den venstre ruten gir Oversikt-siden et sammendrag av IP-detaljer (hvis tilgjengelig).

Seksjon Detaljer
Sikkerhetsinformasjon
  • Åpne hendelser
  • Aktive varsler
  • IP-detaljer
  • Organisasjon (ISP)
  • ASN
  • Land/område, delstat, by
  • Bærer
  • Breddegrad og lengdegrad
  • Postnummer
  • Venstre side har også et panel som viser loggaktivitet (tid som først ble sett/sist sett, datakilde) samlet inn fra flere loggkilder, og et annet panel som viser en liste over loggførte verter samlet inn fra Azure Monitoring Agent hjerteslagstabeller.

    Hoveddelen av Oversikt-siden inneholder instrumentbordkort som viser antall hendelser og varsler (gruppert etter alvorlighetsgrad) som inneholder IP-adressen, og et diagram over utbredelsen av IP-adressen i organisasjonen i løpet av den angitte tidsperioden.

    Hendelser og varsler

    Siden Hendelser og varsler viser en liste over hendelser og varsler som inkluderer IP-adressen som en del av historien deres. Disse hendelsene og varslene kommer fra en rekke Microsoft Defender-gjenkjenningskilder, inkludert Microsoft Sentinel, hvis det er pålastet. Denne listen er en filtrert versjon av hendelseskøen, og viser en kort beskrivelse av hendelsen eller varselet, alvorlighetsgraden (høy, middels, lav, informasjonsmessig), statusen i køen (ny, pågår, løst), klassifiseringen (ikke angitt, falsk varsling, true alert), undersøkelsestilstand, kategori, hvem som er tilordnet for å løse den, og siste aktivitet observert.

    Du kan tilpasse hvilke kolonner som vises for hvert element. Du kan også filtrere varslene etter alvorsgrad, status eller andre kolonner i visningen.

    Kolonnen for berørte aktiva refererer til alle brukere, programmer og andre enheter som det refereres til i hendelsen eller varselet.

    Når en hendelse eller et varsel er valgt, vises en undermeny. Fra dette panelet kan du administrere hendelsen eller varselet og vise flere detaljer, for eksempel hendelse/varselnummer og relaterte enheter. Du kan velge flere varsler om gangen.

    Hvis du vil se en hel sidevisning av en hendelse eller et varsel, velger du tittelen.

    Observert i organisasjonen

    Delen Observert i organisasjonen inneholder en liste over enheter som har en tilkobling til denne IP-en og de siste hendelsesdetaljene for hver enhet (listen er begrenset til 100 enheter).

    Sentinel-hendelser

    Hvis organisasjonen har koblet Microsoft Sentinel til Defender-portalen, er denne ekstra fanen på enhetssiden for IP-adressen. Denne fanen importerer IP-enhetssiden fra Microsoft Sentinel.

    Sentinel tidslinje

    Denne tidslinjen viser varsler som er knyttet til IP-adresseenheten. Disse varslene inkluderer de som vises på hendelser og varsler-fanen og de som er opprettet av Microsoft Sentinel fra tredjeparts, ikke-Microsoft-datakilder.

    Denne tidslinjen viser også bokmerkede jakter fra andre undersøkelser som refererer til denne IP-enheten, IP-aktivitetshendelser fra eksterne datakilder og uvanlig atferd som oppdages av Microsoft Sentinels avviksregler.

    Innsikt

    Enhetsinnsikt er spørringer definert av Microsofts sikkerhetsforskere for å hjelpe deg med å undersøke mer effektivt og mer effektivt. Denne innsikten stiller automatisk de store spørsmålene om IP-enheten din, og gir verdifull sikkerhetsinformasjon i form av tabelldata og diagrammer. Innsikten inkluderer data fra ulike IP-trusselintelligenskilder, nettverkstrafikkinspeksjon og mer, og inkluderer avanserte maskinlæringsalgoritmer for å oppdage uregelmessig atferd.

    Følgende er noen av innsiktene som vises:

    • Microsoft Defender Threat Intelligence-omdømme.
    • Totalt antall IP-adresser for virus.
    • Registrert fremtidig IP-adresse.
    • Avviks-IP-adresse
    • AbuseIPDB.
    • Avvik teller etter IP-adresse.
    • Nettverkstrafikkinspeksjon.
    • Eksterne IP-adressetilkoblinger med TI-samsvar.
    • Eksterne IP-adressetilkoblinger.
    • Denne IP-adressen har et TI-treff.
    • Visningslisteinnsikt (forhåndsvisning).

    Innsiktene er basert på følgende datakilder:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra ID)
    • SigninLogs (Microsoft Entra ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • Heartbeat (Azure Monitor Agent)
    • CommonSecurityLog (Microsoft Sentinel)

    Hvis du vil utforske noen av innsiktene i dette panelet ytterligere, velger du koblingen som følger med innsikten. Koblingen tar deg til avansert jakt-siden , der den viser spørringen som ligger under innsikten, sammen med de rå resultatene. Du kan endre spørringen eller drille ned i resultatene for å utvide undersøkelsen eller bare tilfredsstille nysgjerrigheten din.

    Svarhandlinger

    Responshandlinger tilbyr snarveier for å analysere, undersøke og forsvare seg mot trusler.

    Svarhandlinger kjører øverst på en bestemt IP-enhetsside og inkluderer:

    Handling Beskrivelse
    Legg til indikator Åpner en veiviser for å legge til denne IP-adressen som en indikator for kompromiss (IoC) i kunnskapsbasen for trusselintelligens.
    Åpne IP-innstillinger for skyapp Åpner konfigurasjonsskjermen for IP-adresseområder for å legge til IP-adressen i den.
    Undersøk i aktivitetslogg Åpner aktivitetsloggskjermbildet for Microsoft 365 slik at du kan se etter IP-adressen i andre logger.
    Gå på jakt Åpner avansert jaktside med en innebygd jaktspørring for å finne forekomster av denne IP-adressen.

    Tips

    Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.