Página da entidade de endereço IP no Microsoft Defender
A página da entidade de endereço IP no portal Microsoft Defender ajuda você a examinar possíveis comunicações entre seus dispositivos e endereços IP (protocolo de Internet externo).
Identificar todos os dispositivos na organização que se comunicavam com um endereço IP mal-intencionado suspeito ou conhecido, como servidores C2 (Comando e Controle), ajuda a determinar o escopo potencial de violação, arquivos associados e dispositivos infectados.
Você pode encontrar informações das seguintes seções na página da entidade de endereço IP:
Importante
O Microsoft Sentinel está disponível como parte da versão prévia pública da plataforma de operações de segurança unificada no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal Microsoft Defender.
Visão Geral
No painel esquerdo, a página Visão geral fornece um resumo dos detalhes do IP (se disponível).
| Seção | Detalhes |
|---|---|
| Informações de segurança | |
| Detalhes de IP |
O lado esquerdo também tem um painel mostrando a atividade log (tempo visto pela primeira vez/última vez, fonte de dados) coletado de várias fontes de log e outro painel mostrando uma lista de hosts registrados coletados das tabelas de pulsação do Agente de Monitoramento do Azure.
O corpo main da página Visão Geral contém cartões dashboard mostrando uma contagem de incidentes e alertas (agrupados por gravidade) que contêm o endereço IP e um gráfico da prevalência do endereço IP na organização durante o período de tempo indicado.
Incidentes e alertas
A página Incidentes e alertas mostra uma lista de incidentes e alertas que incluem o endereço IP como parte de sua história. Esses incidentes e alertas vêm de qualquer uma das várias fontes de detecção de Microsoft Defender, incluindo, se integrados, o Microsoft Sentinel. Esta lista é uma versão filtrada da fila de incidentes e mostra uma breve descrição do incidente ou alerta, sua gravidade (alta, média, baixa, informativa), sua status na fila (nova, em andamento, resolvida), sua classificação (não definida, alerta falso, alerta verdadeiro), estado de investigação, categoria, que é atribuída para endereçá-la e última atividade observada.
Você pode personalizar quais colunas são exibidas para cada item. Você também pode filtrar os alertas por severidade, status ou qualquer outra coluna no display.
A coluna ativos afetados refere-se a todas as entidades de usuário, aplicativo e outras entidades referenciadas no incidente ou alerta.
Quando um incidente ou alerta é selecionado, um fly-out é exibido. Neste painel, você pode gerenciar o incidente ou o alerta e exibir mais detalhes, como número de incidente/alerta e dispositivos relacionados. Vários alertas podem ser selecionados por vez.
Para ver uma exibição de página inteira de um incidente ou alerta, selecione seu título.
Observado na organização
A seção Observed in organization fornece uma lista de dispositivos que têm uma conexão com esse IP e os últimos detalhes do evento para cada dispositivo (a lista é limitada a 100 dispositivos).
Eventos sentinelas
Se sua organização integrou o Microsoft Sentinel ao portal do Defender, essa guia adicional estará na página entidade de endereço IP. Essa guia importa a página da entidade IP do Microsoft Sentinel.
Sentinel linha do tempo
Este linha do tempo mostra alertas associados à entidade de endereço IP. Esses alertas incluem aqueles vistos na guia Incidentes e alertas e aqueles criados pelo Microsoft Sentinel de fontes de dados de terceiros e não da Microsoft.
Este linha do tempo também mostra caçadas marcadas de outras investigações que fazem referência a essa entidade IP, eventos de atividade IP de fontes de dados externas e comportamentos incomuns detectados pelas regras de anomalias do Microsoft Sentinel.
Insights
Os insights da entidade são consultas definidas pelos pesquisadores de segurança da Microsoft para ajudá-lo a investigar de forma mais eficiente e eficaz. Esses insights fazem automaticamente as grandes perguntas sobre sua entidade IP, fornecendo informações de segurança valiosas na forma de dados e gráficos tabulares. Os insights incluem dados de várias fontes de inteligência contra ameaças ip, inspeção de tráfego de rede e muito mais e incluem algoritmos avançados de machine learning para detectar comportamento anômalo.
Veja a seguir alguns dos insights mostrados:
- Informações sobre Ameaças do Microsoft Defender reputação.
- Endereço IP total de vírus.
- Endereço IP futuro gravado.
- Endereço IP anomali
- AbuseIPDB.
- Contagem de anomalias por endereço IP.
- Inspeção de tráfego de rede.
- Conexões remotas de endereço IP com ti correspondem.
- Conexões remotas de endereço IP.
- Esse IP tem uma correspondência de TI.
- Insights da lista de observação (versão prévia).
Os insights são baseados nas seguintes fontes de dados:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Pulsação (Agente do Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Se você quiser explorar ainda mais qualquer um dos insights neste painel, selecione o link que acompanha o insight. O link leva você para a página de caça avançada , onde exibe a consulta subjacente ao insight, juntamente com seus resultados brutos. Você pode modificar a consulta ou detalhar os resultados para expandir sua investigação ou apenas satisfazer sua curiosidade.
Ações de resposta
As ações de resposta oferecem atalhos para analisar, investigar e defender contra ameaças.
As ações de resposta são executadas na parte superior de uma página de entidade IP específica e incluem:
| Ação | Descrição |
|---|---|
| Adicionar indicador | Abre um assistente para você adicionar esse endereço IP como um Indicador de Comprometimento (IoC) à sua base de dados de conhecimento do Threat Intelligence. |
| Abrir configurações de IP do aplicativo de nuvem | Abre a tela de configuração de intervalos de endereço IP para você adicionar o endereço IP a ele. |
| Investigar no log de atividades | Abre a tela de log de atividades do Microsoft 365 para você procurar o endereço IP em outros logs. |
| Ir à caça | Abre a página De caça avançada , com uma consulta de caça interna para localizar instâncias desse endereço IP. |
Tópicos relacionados
- visão geral Microsoft Defender XDR
- Ativar Microsoft Defender XDR
- Página entidade do dispositivo no Microsoft Defender
- Página entidade de usuário no Microsoft Defender
- Microsoft Defender XDR integração com o Microsoft Sentinel
- Conecte o Microsoft Sentinel ao Microsoft Defender XDR (versão prévia)
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender para Ponto de Extremidade Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de