Strona jednostki adresu IP w Microsoft Defender
Strona jednostki adresu IP w portalu Microsoft Defender pomaga zbadać możliwą komunikację między urządzeniami a adresami IP (External Internet Protocol).
Identyfikowanie wszystkich urządzeń w organizacji, które komunikowały się z podejrzanym lub znanym złośliwym adresem IP, takim jak serwery poleceń i kontroli (C2), pomaga określić potencjalny zakres naruszeń, skojarzonych plików i zainfekowanych urządzeń.
Informacje z następujących sekcji można znaleźć na stronie jednostki adresu IP:
Ważna
Usługa Microsoft Sentinel jest dostępna w ramach publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu Microsoft Defender.
Omówienie
W okienku po lewej stronie Przegląd przedstawiono podsumowanie szczegółów adresu IP (jeśli są dostępne).
| Sekcji | Szczegóły |
|---|---|
| Informacje zabezpieczające | |
| Szczegóły adresu IP |
Po lewej stronie znajduje się również panel przedstawiający aktywność dziennika (czas po raz pierwszy widziany/ostatnio widziany, źródło danych) zebrany z kilku źródeł dzienników, a inny panel przedstawiający listę zarejestrowanych hostów zebranych z tabel pulsu agenta monitorowania platformy Azure.
Główna treść strony Przegląd zawiera karty pulpitu nawigacyjnego przedstawiające liczbę zdarzeń i alertów (pogrupowanych według ważności) zawierających adres IP oraz wykres występowania adresu IP w organizacji w wskazanym okresie.
Zdarzenia i alerty
Strona Zdarzenia i alerty zawiera listę zdarzeń i alertów, które zawierają adres IP w ramach ich historii. Te zdarzenia i alerty pochodzą z dowolnego z wielu Microsoft Defender źródeł wykrywania, w tym, jeśli są dołączone, usługi Microsoft Sentinel. Ta lista jest przefiltrowaną wersją kolejki zdarzeń i zawiera krótki opis zdarzenia lub alertu, jego ważność (wysoki, średni, niski, informacyjny), jego stan w kolejce (nowy, w toku, rozwiązany), jego klasyfikację (nie ustawiono, alert fałszywy, prawdziwy alert), stan badania, kategorię, która jest przypisana do jej rozwiązania, i ostatnie zaobserwowane działanie.
Możesz dostosować kolumny wyświetlane dla każdego elementu. Alerty można również filtrować według ważności, stanu lub dowolnej innej kolumny na ekranie.
Kolumna elementów zawartości, których dotyczy problem , odnosi się do wszystkich użytkowników, aplikacji i innych jednostek, do których odwołuje się zdarzenie lub alert.
Po wybraniu zdarzenia lub alertu zostanie wyświetlony wysuwany komunikat. Z tego panelu możesz zarządzać zdarzeniem lub alertem i wyświetlać więcej szczegółów, takich jak numer zdarzenia/alertu i powiązane urządzenia. Jednocześnie można wybrać wiele alertów.
Aby wyświetlić pełny widok strony zdarzenia lub alertu, wybierz jego tytuł.
Obserwowane w organizacji
Sekcja Obserwowane w organizacji zawiera listę urządzeń, które mają połączenie z tym adresem IP, oraz szczegóły ostatniego zdarzenia dla każdego urządzenia (lista jest ograniczona do 100 urządzeń).
Zdarzenia usługi Sentinel
Jeśli Twoja organizacja dołączyła usługę Microsoft Sentinel do portalu usługi Defender, ta dodatkowa karta znajduje się na stronie jednostki adresu IP. Ta karta importuje stronę jednostki IP z usługi Microsoft Sentinel.
Oś czasu usługi Sentinel
Na tej osi czasu są wyświetlane alerty skojarzone z jednostką adresu IP. Te alerty obejmują te widoczne na karcie Zdarzenia i alerty oraz te utworzone przez usługę Microsoft Sentinel z zewnętrznych źródeł danych innych firm, spoza firmy Microsoft.
Ta oś czasu przedstawia również wyszukiwania z zakładkami z innych badań, które odwołują się do tej jednostki IP, zdarzeń aktywności ip z zewnętrznych źródeł danych i nietypowych zachowań wykrytych przez reguły anomalii usługi Microsoft Sentinel.
Wyniki analizy
Szczegółowe informacje o jednostkach to zapytania zdefiniowane przez badaczy zabezpieczeń firmy Microsoft, które ułatwiają wydajniejsze i wydajniejsze badanie. Te szczegółowe informacje automatycznie zadają ważne pytania dotyczące twojej jednostki IP, dostarczając cennych informacji o zabezpieczeniach w postaci danych tabelarycznych i wykresów. Szczegółowe informacje obejmują dane z różnych źródeł analizy zagrożeń IP, inspekcję ruchu sieciowego i inne oraz obejmują zaawansowane algorytmy uczenia maszynowego w celu wykrywania nietypowych zachowań.
Poniżej przedstawiono niektóre z przedstawionych szczegółowych informacji:
- Microsoft Defender Threat Intelligence reputację.
- Łączny adres IP wirusa.
- Zarejestrowano przyszły adres IP.
- Anomali IP Address
- AbuseIPDB.
- Anomalie są liczone według adresu IP.
- Inspekcja ruchu sieci.
- Połączenia zdalne adresów IP z dopasowaniem TI.
- Adres IP połączeń zdalnych.
- Ten adres IP ma dopasowanie TI.
- Szczegółowe informacje dotyczące listy obserwowanych (wersja zapoznawcza).
Szczegółowe informacje są oparte na następujących źródłach danych:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Tożsamość Microsoft Entra)
- SigninLogs (Tożsamość Microsoft Entra)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Puls (agent usługi Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Jeśli chcesz dokładniej zapoznać się ze szczegółowymi informacjami w tym panelu, wybierz link towarzyszący analizie. Link prowadzi do strony Zaawansowane wyszukiwanie zagrożeń , na której jest wyświetlane zapytanie leżące u podstaw szczegółowych informacji wraz z jego nieprzetworzonymi wynikami. Możesz zmodyfikować zapytanie lub przejść do szczegółów wyników, aby rozwinąć badanie lub po prostu zaspokoić ciekawość.
Akcje odpowiedzi
Akcje reagowania oferują skróty do analizowania, badania i obrony przed zagrożeniami.
Akcje odpowiedzi są uruchamiane w górnej części określonej strony jednostki IP i obejmują:
| Akcja | Opis |
|---|---|
| Dodawanie wskaźnika | Otwiera kreatora dodawania tego adresu IP jako wskaźnika naruszenia zabezpieczeń (IoC) do bazy wiedzy analizy zagrożeń. |
| Otwieranie ustawień adresu IP aplikacji w chmurze | Otwiera ekran konfiguracji zakresów adresów IP, aby dodać do niego adres IP. |
| Badanie w dzienniku aktywności | Otwiera ekran dziennika aktywności platformy Microsoft 365, aby wyszukać adres IP w innych dziennikach. |
| Go hunt | Otwiera stronę Zaawansowane wyszukiwanie zagrożeń z wbudowanym zapytaniem wyszukiwania zagrożeń w celu znalezienia wystąpień tego adresu IP. |
Tematy pokrewne
- omówienie Microsoft Defender XDR
- Włącz Microsoft Defender XDR
- Strona jednostki urządzenia w Microsoft Defender
- Strona jednostki użytkownika w Microsoft Defender
- integracja Microsoft Defender XDR z usługą Microsoft Sentinel
- Łączenie usługi Microsoft Sentinel z usługą Microsoft Defender XDR (wersja zapoznawcza)
Porada
Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla