Udostępnij za pośrednictwem


Strona jednostki adresu IP w usłudze Microsoft Defender

Strona jednostki adresu IP w portalu usługi Microsoft Defender ułatwia sprawdzenie możliwej komunikacji między urządzeniami a adresami IP (External Internet Protocol).

Identyfikowanie wszystkich urządzeń w organizacji, które komunikowały się z podejrzanym lub znanym złośliwym adresem IP, takim jak serwery poleceń i kontroli (C2), pomaga określić potencjalny zakres naruszeń, skojarzonych plików i zainfekowanych urządzeń.

Informacje z następujących sekcji można znaleźć na stronie jednostki adresu IP:

Ważna

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie ujednoliconych operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Omówienie

W okienku po lewej stronie Przegląd przedstawiono podsumowanie szczegółów adresu IP (jeśli są dostępne).

Sekcja Szczegóły
Informacje zabezpieczające
  • Otwarte zdarzenia
  • Aktywne alerty
  • Szczegóły adresu IP
  • Organizacja (ISP)
  • ASN
  • Kraj/region, Stan, Miasto
  • Przewoźnik
  • Szerokość i długość geograficzna
  • Kod pocztowy
  • Po lewej stronie znajduje się również panel przedstawiający aktywność dziennika (czas po raz pierwszy widziany/ostatnio widziany, źródło danych) zebrany z kilku źródeł dzienników, a inny panel przedstawiający listę zarejestrowanych hostów zebranych z tabel pulsu agenta monitorowania platformy Azure.

    Główna treść strony Przegląd zawiera karty pulpitu nawigacyjnego przedstawiające liczbę zdarzeń i alertów (pogrupowanych według ważności) zawierających adres IP oraz wykres występowania adresu IP w organizacji w wskazanym okresie.

    Zdarzenia i alerty

    Strona Zdarzenia i alerty zawiera listę zdarzeń i alertów, które zawierają adres IP w ramach ich historii. Te zdarzenia i alerty pochodzą z dowolnego z wielu źródeł wykrywania usługi Microsoft Defender, w tym, jeśli są dołączone, usługi Microsoft Sentinel. Ta lista jest przefiltrowaną wersją kolejki zdarzeń i zawiera krótki opis zdarzenia lub alertu, jego ważność (wysoki, średni, niski, informacyjny), jego stan w kolejce (nowy, w toku, rozwiązany), jego klasyfikację (nie ustawiono, alert fałszywy, prawdziwy alert), stan badania, kategorię, która jest przypisana do jej rozwiązania, i ostatnie zaobserwowane działanie.

    Możesz dostosować kolumny wyświetlane dla każdego elementu. Alerty można również filtrować według ważności, stanu lub dowolnej innej kolumny na ekranie.

    Kolumna elementów zawartości, których dotyczy problem , odnosi się do wszystkich użytkowników, aplikacji i innych jednostek, do których odwołuje się zdarzenie lub alert.

    Po wybraniu zdarzenia lub alertu zostanie wyświetlony wysuwany komunikat. Z tego panelu możesz zarządzać zdarzeniem lub alertem i wyświetlać więcej szczegółów, takich jak numer zdarzenia/alertu i powiązane urządzenia. Jednocześnie można wybrać wiele alertów.

    Aby wyświetlić pełny widok strony zdarzenia lub alertu, wybierz jego tytuł.

    Obserwowane w organizacji

    Sekcja Obserwowane w organizacji zawiera listę urządzeń, które mają połączenie z tym adresem IP, oraz szczegóły ostatniego zdarzenia dla każdego urządzenia (lista jest ograniczona do 100 urządzeń).

    Zdarzenia usługi Sentinel

    Jeśli Twoja organizacja dołączyła usługę Microsoft Sentinel do portalu usługi Defender, ta dodatkowa karta znajduje się na stronie jednostki adresu IP. Ta karta importuje stronę jednostki IP z usługi Microsoft Sentinel.

    Oś czasu usługi Sentinel

    Na tej osi czasu są wyświetlane alerty skojarzone z jednostką adresu IP. Te alerty obejmują te widoczne na karcie Zdarzenia i alerty oraz te utworzone przez usługę Microsoft Sentinel z zewnętrznych źródeł danych innych firm, spoza firmy Microsoft.

    Ta oś czasu przedstawia również wyszukiwania z zakładkami z innych badań, które odwołują się do tej jednostki IP, zdarzeń aktywności ip z zewnętrznych źródeł danych i nietypowych zachowań wykrytych przez reguły anomalii usługi Microsoft Sentinel.

    Wyniki analizy

    Szczegółowe informacje o jednostkach to zapytania zdefiniowane przez badaczy zabezpieczeń firmy Microsoft, które ułatwiają wydajniejsze i wydajniejsze badanie. Te szczegółowe informacje automatycznie zadają ważne pytania dotyczące twojej jednostki IP, dostarczając cennych informacji o zabezpieczeniach w postaci danych tabelarycznych i wykresów. Szczegółowe informacje obejmują dane z różnych źródeł analizy zagrożeń IP, inspekcję ruchu sieciowego i inne oraz obejmują zaawansowane algorytmy uczenia maszynowego w celu wykrywania nietypowych zachowań.

    Poniżej przedstawiono niektóre z przedstawionych szczegółowych informacji:

    • Reputacja usługi Microsoft Defender Threat Intelligence.
    • Łączny adres IP wirusa.
    • Zarejestrowano przyszły adres IP.
    • Anomali IP Address
    • AbuseIPDB.
    • Anomalie są liczone według adresu IP.
    • Inspekcja ruchu sieci.
    • Połączenia zdalne adresów IP z dopasowaniem TI.
    • Adres IP połączeń zdalnych.
    • Ten adres IP ma dopasowanie TI.
    • Szczegółowe informacje dotyczące listy obserwowanych (wersja zapoznawcza).

    Szczegółowe informacje są oparte na następujących źródłach danych:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra ID)
    • SigninLogs (Microsoft Entra ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • Puls (agent usługi Azure Monitor)
    • CommonSecurityLog (Microsoft Sentinel)

    Jeśli chcesz dokładniej zapoznać się ze szczegółowymi informacjami w tym panelu, wybierz link towarzyszący analizie. Link prowadzi do strony Zaawansowane wyszukiwanie zagrożeń , na której jest wyświetlane zapytanie leżące u podstaw szczegółowych informacji wraz z jego nieprzetworzonymi wynikami. Możesz zmodyfikować zapytanie lub przejść do szczegółów wyników, aby rozwinąć badanie lub po prostu zaspokoić ciekawość.

    Akcje odpowiedzi

    Akcje reagowania oferują skróty do analizowania, badania i obrony przed zagrożeniami.

    Akcje odpowiedzi są uruchamiane w górnej części określonej strony jednostki IP i obejmują:

    Akcja Opis
    Dodawanie wskaźnika Otwiera kreatora dodawania tego adresu IP jako wskaźnika naruszenia zabezpieczeń (IoC) do bazy wiedzy analizy zagrożeń.
    Otwieranie ustawień adresu IP aplikacji w chmurze Otwiera ekran konfiguracji zakresów adresów IP, aby dodać do niego adres IP.
    Badanie w dzienniku aktywności Otwiera ekran dziennika aktywności platformy Microsoft 365, aby wyszukać adres IP w innych dziennikach.
    Go hunt Otwiera stronę Zaawansowane wyszukiwanie zagrożeń z wbudowanym zapytaniem wyszukiwania zagrożeń w celu znalezienia wystąpień tego adresu IP.

    Porada

    Chcesz dowiedzieć się więcej? Skontaktuj się ze społecznością zabezpieczeń firmy Microsoft w naszej społeczności technicznej: Microsoft Defender for Endpoint Tech Community.