Enhetsside for IP-adresse i Microsoft Defender
Enhetssiden for IP-adressen i Microsoft Defender-portalen hjelper deg med å undersøke mulig kommunikasjon mellom enhetene dine og IP-adresser (external Internet Protocol).
Identifisering av alle enheter i organisasjonen som kommuniserte med en mistenkt eller kjent ondsinnet IP-adresse, for eksempel kommando- og kontrollservere (C2), bidrar til å fastslå det potensielle omfanget av brudd, tilknyttede filer og infiserte enheter.
Du finner informasjon fra følgende deler på enhetssiden for IP-adressen:
Viktig
Microsoft Sentinel er nå generelt tilgjengelig i Microsofts plattform for enhetlige sikkerhetsoperasjoner i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel i Microsoft Defender-portalen.
Oversikt
I den venstre ruten gir Oversikt-siden et sammendrag av IP-detaljer (hvis tilgjengelig).
Seksjon | Detaljer |
---|---|
Sikkerhetsinformasjon | |
IP-detaljer |
Venstre side har også et panel som viser loggaktivitet (tid som først ble sett/sist sett, datakilde) samlet inn fra flere loggkilder, og et annet panel som viser en liste over loggførte verter samlet inn fra Azure Monitoring Agent hjerteslagstabeller.
Hoveddelen av Oversikt-siden inneholder instrumentbordkort som viser antall hendelser og varsler (gruppert etter alvorlighetsgrad) som inneholder IP-adressen, og et diagram over utbredelsen av IP-adressen i organisasjonen i løpet av den angitte tidsperioden.
Hendelser og varsler
Siden Hendelser og varsler viser en liste over hendelser og varsler som inkluderer IP-adressen som en del av historien deres. Disse hendelsene og varslene kommer fra en rekke Microsoft Defender-gjenkjenningskilder, inkludert Microsoft Sentinel, hvis det er pålastet. Denne listen er en filtrert versjon av hendelseskøen, og viser en kort beskrivelse av hendelsen eller varselet, alvorlighetsgraden (høy, middels, lav, informasjonsmessig), statusen i køen (ny, pågår, løst), klassifiseringen (ikke angitt, falsk varsling, true alert), undersøkelsestilstand, kategori, hvem som er tilordnet for å løse den, og siste aktivitet observert.
Du kan tilpasse hvilke kolonner som vises for hvert element. Du kan også filtrere varslene etter alvorsgrad, status eller andre kolonner i visningen.
Kolonnen for berørte aktiva refererer til alle brukere, programmer og andre enheter som det refereres til i hendelsen eller varselet.
Når en hendelse eller et varsel er valgt, vises en undermeny. Fra dette panelet kan du administrere hendelsen eller varselet og vise flere detaljer, for eksempel hendelse/varselnummer og relaterte enheter. Du kan velge flere varsler om gangen.
Hvis du vil se en hel sidevisning av en hendelse eller et varsel, velger du tittelen.
Observert i organisasjonen
Delen Observert i organisasjonen inneholder en liste over enheter som har en tilkobling til denne IP-en og de siste hendelsesdetaljene for hver enhet (listen er begrenset til 100 enheter).
Sentinel-hendelser
Hvis organisasjonen har koblet Microsoft Sentinel til Defender-portalen, er denne ekstra fanen på enhetssiden for IP-adressen. Denne fanen importerer IP-enhetssiden fra Microsoft Sentinel.
Sentinel tidslinje
Denne tidslinjen viser varsler som er knyttet til IP-adresseenheten. Disse varslene inkluderer de som vises på hendelser og varsler-fanen og de som er opprettet av Microsoft Sentinel fra tredjeparts, ikke-Microsoft-datakilder.
Denne tidslinjen viser også bokmerkede jakter fra andre undersøkelser som refererer til denne IP-enheten, IP-aktivitetshendelser fra eksterne datakilder og uvanlig atferd som oppdages av Microsoft Sentinels avviksregler.
Innsikt
Enhetsinnsikt er spørringer definert av Microsofts sikkerhetsforskere for å hjelpe deg med å undersøke mer effektivt og mer effektivt. Denne innsikten stiller automatisk de store spørsmålene om IP-enheten din, og gir verdifull sikkerhetsinformasjon i form av tabelldata og diagrammer. Innsikten inkluderer data fra ulike IP-trusselintelligenskilder, nettverkstrafikkinspeksjon og mer, og inkluderer avanserte maskinlæringsalgoritmer for å oppdage uregelmessig atferd.
Følgende er noen av innsiktene som vises:
- Microsoft Defender Threat Intelligence-omdømme.
- Totalt antall IP-adresser for virus.
- Registrert fremtidig IP-adresse.
- Avviks-IP-adresse
- AbuseIPDB.
- Avvik teller etter IP-adresse.
- Nettverkstrafikkinspeksjon.
- Eksterne IP-adressetilkoblinger med TI-samsvar.
- Eksterne IP-adressetilkoblinger.
- Denne IP-adressen har et TI-treff.
- Visningslisteinnsikt (forhåndsvisning).
Innsiktene er basert på følgende datakilder:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Azure Monitor Agent)
- CommonSecurityLog (Microsoft Sentinel)
Hvis du vil utforske noen av innsiktene i dette panelet ytterligere, velger du koblingen som følger med innsikten. Koblingen tar deg til avansert jakt-siden , der den viser spørringen som ligger under innsikten, sammen med de rå resultatene. Du kan endre spørringen eller drille ned i resultatene for å utvide undersøkelsen eller bare tilfredsstille nysgjerrigheten din.
Svarhandlinger
Responshandlinger tilbyr snarveier for å analysere, undersøke og forsvare seg mot trusler.
Svarhandlinger kjører øverst på en bestemt IP-enhetsside og inkluderer:
Handling | Beskrivelse |
---|---|
Legg til indikator | Åpner en veiviser for å legge til denne IP-adressen som en indikator for kompromiss (IoC) i kunnskapsbasen for trusselintelligens. |
Åpne IP-innstillinger for skyapp | Åpner konfigurasjonsskjermen for IP-adresseområder for å legge til IP-adressen i den. |
Undersøk i aktivitetslogg | Åpner aktivitetsloggskjermbildet for Microsoft 365 slik at du kan se etter IP-adressen i andre logger. |
Gå på jakt | Åpner avansert jaktside med en innebygd jaktspørring for å finne forekomster av denne IP-adressen. |
Beslektede emner
- Oversikt over Microsoft Defender XDR
- Slå på Microsoft Defender XDR
- Enhetsside for enhet i Microsoft Defender
- Brukerenhetsside i Microsoft Defender
- Microsoft Defender XDR-integrasjon med Microsoft Sentinel
- Koble Microsoft Sentinel til Microsoft Defender XDR
Tips
Vil du lære mer? Engasjer deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for Endpoint Tech Community.