Página de entidade de endereço IP no Microsoft Defender
A página da entidade endereço IP no portal do Microsoft Defender ajuda-o a examinar uma possível comunicação entre os seus dispositivos e endereços IP (protocolo IP) externos.
Identificar todos os dispositivos na organização que comunicaram com um endereço IP malicioso suspeito ou conhecido, como servidores de Comando e Controlo (C2), ajuda a determinar o âmbito potencial de violação, ficheiros associados e dispositivos infetados.
Pode encontrar informações das seguintes secções na página da entidade endereço IP:
Importante
O Microsoft Sentinel está disponível como parte da pré-visualização pública da plataforma de operações de segurança unificada no portal Microsoft Defender. Para obter mais informações, veja Microsoft Sentinel no portal do Microsoft Defender.
Descrição geral
No painel esquerdo, a página Descrição geral fornece um resumo dos detalhes do IP (se disponível).
Secção | Detalhes |
---|---|
Informações de segurança | |
Detalhes do IP |
O lado esquerdo também tem um painel que mostra a Atividade de registo (hora vista/vista pela última vez, origem de dados) recolhida de várias origens de registo e outro painel que mostra uma lista de anfitriões registados recolhidos a partir de tabelas de heartbeat do Agente de Monitorização do Azure.
O corpo principal da página Descrição geral contém cartões de dashboard que mostram uma contagem de incidentes e alertas (agrupados por gravidade) que contêm o endereço IP e um gráfico da prevalência do endereço IP na organização durante o período de tempo indicado.
Incidentes e alertas
A página Incidentes e alertas mostra uma lista de incidentes e alertas que incluem o endereço IP como parte da respetiva história. Estes incidentes e alertas provêm de uma série de origens de deteção de Microsoft Defender, incluindo, se integrados, o Microsoft Sentinel. Esta lista é uma versão filtrada da fila de incidentes e mostra uma breve descrição do incidente ou alerta, a sua gravidade (alta, média, baixa, informativa), o respetivo estado na fila (novo, em curso, resolvido), a classificação (não definido, alerta falso, alerta verdadeiro), estado de investigação, categoria, quem está atribuído para o resolver e última atividade observada.
Pode personalizar as colunas que são apresentadas para cada item. Também pode filtrar os alertas por gravidade, estado ou qualquer outra coluna no ecrã.
A coluna recursos afetados refere-se a todos os utilizadores, aplicações e outras entidades referenciadas no incidente ou alerta.
Quando um incidente ou alerta é selecionado, é apresentada uma lista de opções. A partir deste painel, pode gerir o incidente ou o alerta e ver mais detalhes, como o número de incidente/alerta e dispositivos relacionados. Podem ser selecionados vários alertas de cada vez.
Para ver uma vista de página inteira de um incidente ou alerta, selecione o respetivo título.
Observado na organização
A secção Observado na organização fornece uma lista de dispositivos que têm uma ligação com este IP e os últimos detalhes do evento para cada dispositivo (a lista está limitada a 100 dispositivos).
Eventos do Sentinel
Se a sua organização tiver integrado o Microsoft Sentinel no portal do Defender, este separador adicional encontra-se na página da entidade endereço IP. Este separador importa a página da entidade IP do Microsoft Sentinel.
Linha cronológica do Sentinel
Esta linha cronológica mostra os alertas associados à entidade de endereço IP. Estes alertas incluem os que são vistos no separador Incidentes e alertas e os criados pelo Microsoft Sentinel a partir de origens de dados de terceiros e não da Microsoft.
Esta linha cronológica também mostra as caçadas com marcadores de outras investigações que referenciam esta entidade IP, eventos de atividade ip de origens de dados externas e comportamentos invulgares detetados pelas regras de anomalias do Microsoft Sentinel.
Informações
As informações de entidades são consultas definidas pelos investigadores de segurança da Microsoft para o ajudar a investigar de forma mais eficiente e eficaz. Estas informações colocam automaticamente as grandes questões sobre a sua entidade IP, fornecendo informações de segurança valiosas sob a forma de dados e gráficos tabulares. As informações incluem dados de várias origens de informações sobre ameaças de IP, inspeção de tráfego de rede e muito mais, e incluem algoritmos de machine learning avançados para detetar comportamentos anómalos.
Seguem-se algumas das informações apresentadas:
- Informações sobre Ameaças do Microsoft Defender reputação.
- Endereço IP Total de Vírus.
- Endereço IP Futuro Registado.
- Endereço IP Anomali
- AbuseIPDB.
- Contagem de anomalias por endereço IP.
- Inspeção de tráfego de rede.
- As ligações remotas de endereços IP com TI correspondem.
- Ligações remotas de endereços IP.
- Este IP tem uma correspondência de TI.
- Informações da lista de observação (Pré-visualização).
As informações baseiam-se nas seguintes origens de dados:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (UEBA do Microsoft Sentinel)
- Heartbeat (Agente do Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Se quiser explorar mais aprofundadamente qualquer uma das informações neste painel, selecione a ligação que acompanha as informações. A ligação direciona-o para a página Investigação avançada , onde apresenta a consulta subjacente às informações, juntamente com os respetivos resultados não processados. Pode modificar a consulta ou desagregar os resultados para expandir a investigação ou apenas satisfazer a sua curiosidade.
Ações de resposta
As ações de resposta oferecem atalhos para analisar, investigar e defender contra ameaças.
As ações de resposta são executadas na parte superior de uma página de entidade IP específica e incluem:
Ação | Descrição |
---|---|
Adicionar indicador | Abre um assistente para adicionar este endereço IP como um Indicador de Compromisso (IoC) à sua base de dados de conhecimento das Informações sobre Ameaças. |
Abrir as definições de IP da aplicação na cloud | Abre o ecrã de configuração dos intervalos de endereços IP para adicionar o endereço IP ao mesmo. |
Investigar no Registo de atividades | Abre o ecrã registo de Atividades do Microsoft 365 para procurar o endereço IP noutros registos. |
Ir caçar | Abre a página Investigação avançada , com uma consulta de investigação incorporada para encontrar instâncias deste endereço IP. |
Tópicos relacionados
- descrição geral do Microsoft Defender XDR
- Ativar Microsoft Defender XDR
- Página entidade do dispositivo no Microsoft Defender
- Página entidade de utilizador no Microsoft Defender
- Microsoft Defender XDR integração com o Microsoft Sentinel
- Ligar o Microsoft Sentinel ao Microsoft Defender XDR (pré-visualização)
Sugestão
Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários