Entiteitspagina IP-adres in Microsoft Defender
De entiteitspagina IP-adres in de Microsoft Defender-portal helpt u bij het onderzoeken van mogelijke communicatie tussen uw apparaten en IP-adressen (External Internet Protocol).
Het identificeren van alle apparaten in de organisatie die hebben gecommuniceerd met een verdacht of bekend schadelijk IP-adres, zoals C2-servers (Command and Control), helpt bij het bepalen van het mogelijke bereik van inbreuk, gekoppelde bestanden en geïnfecteerde apparaten.
U vindt informatie in de volgende secties op de pagina van de entiteit IP-adres:
Belangrijk
Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Overzicht
In het linkerdeelvenster bevat de pagina Overzicht een overzicht van IP-gegevens (indien beschikbaar).
Afdeling | Details |
---|---|
Beveiligingsgegevens | |
IP-gegevens |
De linkerkant bevat ook een deelvenster met logboekactiviteit (tijdstip voor het eerst gezien/voor het laatst gezien, gegevensbron) die is verzameld uit verschillende logboekbronnen, en een ander deelvenster met een lijst met geregistreerde hosts die zijn verzameld uit heartbeattabellen van Azure Monitoring Agent.
De hoofdtekst van de pagina Overzicht bevat dashboardkaarten met het aantal incidenten en waarschuwingen (gegroepeerd op ernst) met het IP-adres en een grafiek van de prevalentie van het IP-adres in de organisatie gedurende de aangegeven periode.
Incidenten en waarschuwingen
Op de pagina Incidenten en waarschuwingen ziet u een lijst met incidenten en waarschuwingen die het IP-adres als onderdeel van hun verhaal bevatten. Deze incidenten en waarschuwingen zijn afkomstig van een aantal detectiebronnen van Microsoft Defender, waaronder, indien onboarding, Microsoft Sentinel. Deze lijst is een gefilterde versie van de wachtrij met incidenten en bevat een korte beschrijving van het incident of de waarschuwing, de ernst (hoog, gemiddeld, laag, informatief), de status in de wachtrij (nieuw, wordt uitgevoerd, opgelost), de classificatie (niet ingesteld, valse waarschuwing, echte waarschuwing), de onderzoeksstatus, de categorie, wie is toegewezen om deze te adresseren en de laatste activiteit die is waargenomen.
U kunt aanpassen welke kolommen voor elk item worden weergegeven. U kunt de waarschuwingen ook filteren op ernst, status of een andere kolom in de weergave.
De kolom met betrokken assets verwijst naar alle gebruikers, toepassingen en andere entiteiten waarnaar wordt verwezen in het incident of de waarschuwing.
Wanneer een incident of waarschuwing is geselecteerd, wordt er een fly-out weergegeven. In dit deelvenster kunt u het incident of de waarschuwing beheren en meer details bekijken, zoals incident-/waarschuwingsnummer en gerelateerde apparaten. Er kunnen meerdere waarschuwingen tegelijk worden geselecteerd.
Als u een volledige paginaweergave van een incident of waarschuwing wilt zien, selecteert u de titel ervan.
Waargenomen in organisatie
De sectie Waargenomen in organisatie bevat een lijst met apparaten die verbinding hebben met dit IP-adres en de laatste gebeurtenisdetails voor elk apparaat (de lijst is beperkt tot 100 apparaten).
Sentinel-gebeurtenissen
Als uw organisatie Microsoft Sentinel onboardt naar de Defender-portal, bevindt dit extra tabblad zich op de pagina van de entiteit IP-adres. Op dit tabblad wordt de pagina van de IP-entiteit uit Microsoft Sentinel geïmporteerd.
Sentinel-tijdlijn
Deze tijdlijn toont waarschuwingen die zijn gekoppeld aan de entiteit IP-adres. Deze waarschuwingen omvatten waarschuwingen die worden weergegeven op het tabblad Incidenten en waarschuwingen en waarschuwingen die door Microsoft Sentinel zijn gemaakt vanuit externe, niet-Microsoft-gegevensbronnen.
Deze tijdlijn bevat ook zoekbewerkingen met bladwijzers van andere onderzoeken die verwijzen naar deze IP-entiteit, IP-activiteitsgebeurtenissen van externe gegevensbronnen en ongebruikelijk gedrag dat is gedetecteerd door de anomalieregels van Microsoft Sentinel.
Inzichten
Entiteits insights zijn query's die zijn gedefinieerd door Microsoft-beveiligingsonderzoekers om u te helpen efficiënter en effectiever te onderzoeken. Deze inzichten stellen automatisch de grote vragen over uw IP-entiteit en bieden waardevolle beveiligingsinformatie in de vorm van gegevens in tabelvorm en grafieken. De inzichten omvatten gegevens uit verschillende IP-bronnen voor bedreigingsinformatie, inspectie van netwerkverkeer en meer, en omvatten geavanceerde machine learning-algoritmen om afwijkend gedrag te detecteren.
Hier volgen enkele van de inzichten die worden weergegeven:
- Reputatie van Microsoft Defender Threat Intelligence.
- Totaal IP-adres van virus.
- Geregistreerd toekomstig IP-adres.
- Ip-adres van anomalie
- AbuseIPDB.
- Afwijkingen tellen per IP-adres.
- Netwerkverkeersinspectie.
- Externe IP-adresverbindingen met TI-overeenkomst.
- Externe IP-adresverbindingen.
- Dit IP-adres heeft een TI-overeenkomst.
- Watchlist insights (preview).
De inzichten zijn gebaseerd op de volgende gegevensbronnen:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Azure Monitor-agent)
- CommonSecurityLog (Microsoft Sentinel)
Als u een van de inzichten in dit deelvenster verder wilt verkennen, selecteert u de koppeling bij het inzicht. De koppeling brengt u naar de pagina Geavanceerde opsporing , waar de onderliggende query van het inzicht wordt weergegeven, samen met de onbewerkte resultaten. U kunt de query wijzigen of inzoomen op de resultaten om uw onderzoek uit te breiden of gewoon uw nieuwsgierigheid te bevredigen.
Reactieacties
Reactieacties bieden snelkoppelingen voor het analyseren, onderzoeken en beschermen tegen bedreigingen.
Antwoordacties worden boven aan een specifieke IP-entiteitspagina uitgevoerd en omvatten:
Actie | Omschrijving |
---|---|
Indicator toevoegen | Hiermee opent u een wizard voor het toevoegen van dit IP-adres als een Indicator of Compromise (IoC) aan uw knowledgebase voor bedreigingsinformatie. |
IP-instellingen voor cloud-apps openen | Hiermee opent u het configuratiescherm ip-adresbereiken, zodat u het IP-adres eraan kunt toevoegen. |
Onderzoeken in activiteitenlogboek | Hiermee opent u het microsoft 365-activiteitenlogboekscherm om het IP-adres in andere logboeken te zoeken. |
Beginnen met opsporen | Hiermee opent u de pagina Geavanceerde opsporing , met een ingebouwde opsporingsquery om exemplaren van dit IP-adres te vinden. |
Verwante onderwerpen
- Overzicht van Microsoft Defender XDR
- Microsoft Defender XDR inschakelen
- Pagina Apparaatentiteit in Microsoft Defender
- Pagina Gebruikersentiteit in Microsoft Defender
- Microsoft Defender XDR-integratie met Microsoft Sentinel
- Microsoft Sentinel verbinden met Microsoft Defender XDR
Tip
Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender for Endpoint Tech Community.