Página de entidade de endereço IP no Microsoft Defender

  • Artigo
  • Aplica-se a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A página da entidade endereço IP no portal do Microsoft Defender ajuda-o a examinar uma possível comunicação entre os seus dispositivos e endereços IP (protocolo IP) externos.

Identificar todos os dispositivos na organização que comunicaram com um endereço IP malicioso suspeito ou conhecido, como servidores de Comando e Controlo (C2), ajuda a determinar o âmbito potencial de violação, ficheiros associados e dispositivos infetados.

Pode encontrar informações das seguintes secções na página da entidade endereço IP:

Importante

O Microsoft Sentinel está disponível como parte da pré-visualização pública da plataforma de operações de segurança unificada no portal Microsoft Defender. Para obter mais informações, veja Microsoft Sentinel no portal do Microsoft Defender.

Descrição geral

No painel esquerdo, a página Descrição geral fornece um resumo dos detalhes do IP (se disponível).

Secção Detalhes
Informações de segurança
  • Incidentes abertos
  • Alertas ativos
    		•
    Detalhes do IP
  • Organização (ISP)
  • ASN
  • País/Região, Estado, Cidade
  • Transportadora
  • Latitude e longitude
  • Código postal
    		•

    O lado esquerdo também tem um painel que mostra a Atividade de registo (hora vista/vista pela última vez, origem de dados) recolhida de várias origens de registo e outro painel que mostra uma lista de anfitriões registados recolhidos a partir de tabelas de heartbeat do Agente de Monitorização do Azure.

    O corpo principal da página Descrição geral contém cartões de dashboard que mostram uma contagem de incidentes e alertas (agrupados por gravidade) que contêm o endereço IP e um gráfico da prevalência do endereço IP na organização durante o período de tempo indicado.

    Incidentes e alertas

    A página Incidentes e alertas mostra uma lista de incidentes e alertas que incluem o endereço IP como parte da respetiva história. Estes incidentes e alertas provêm de uma série de origens de deteção de Microsoft Defender, incluindo, se integrados, o Microsoft Sentinel. Esta lista é uma versão filtrada da fila de incidentes e mostra uma breve descrição do incidente ou alerta, a sua gravidade (alta, média, baixa, informativa), o respetivo estado na fila (novo, em curso, resolvido), a classificação (não definido, alerta falso, alerta verdadeiro), estado de investigação, categoria, quem está atribuído para o resolver e última atividade observada.

    Pode personalizar as colunas que são apresentadas para cada item. Também pode filtrar os alertas por gravidade, estado ou qualquer outra coluna no ecrã.

    A coluna recursos afetados refere-se a todos os utilizadores, aplicações e outras entidades referenciadas no incidente ou alerta.

    Quando um incidente ou alerta é selecionado, é apresentada uma lista de opções. A partir deste painel, pode gerir o incidente ou o alerta e ver mais detalhes, como o número de incidente/alerta e dispositivos relacionados. Podem ser selecionados vários alertas de cada vez.

    Para ver uma vista de página inteira de um incidente ou alerta, selecione o respetivo título.

    Observado na organização

    A secção Observado na organização fornece uma lista de dispositivos que têm uma ligação com este IP e os últimos detalhes do evento para cada dispositivo (a lista está limitada a 100 dispositivos).

    Eventos do Sentinel

    Se a sua organização tiver integrado o Microsoft Sentinel no portal do Defender, este separador adicional encontra-se na página da entidade endereço IP. Este separador importa a página da entidade IP do Microsoft Sentinel.

    Linha cronológica do Sentinel

    Esta linha cronológica mostra os alertas associados à entidade de endereço IP. Estes alertas incluem os que são vistos no separador Incidentes e alertas e os criados pelo Microsoft Sentinel a partir de origens de dados de terceiros e não da Microsoft.

    Esta linha cronológica também mostra as caçadas com marcadores de outras investigações que referenciam esta entidade IP, eventos de atividade ip de origens de dados externas e comportamentos invulgares detetados pelas regras de anomalias do Microsoft Sentinel.

    Informações

    As informações de entidades são consultas definidas pelos investigadores de segurança da Microsoft para o ajudar a investigar de forma mais eficiente e eficaz. Estas informações colocam automaticamente as grandes questões sobre a sua entidade IP, fornecendo informações de segurança valiosas sob a forma de dados e gráficos tabulares. As informações incluem dados de várias origens de informações sobre ameaças de IP, inspeção de tráfego de rede e muito mais, e incluem algoritmos de machine learning avançados para detetar comportamentos anómalos.

    Seguem-se algumas das informações apresentadas:

    • Informações sobre Ameaças do Microsoft Defender reputação.
    • Endereço IP Total de Vírus.
    • Endereço IP Futuro Registado.
    • Endereço IP Anomali
    • AbuseIPDB.
    • Contagem de anomalias por endereço IP.
    • Inspeção de tráfego de rede.
    • As ligações remotas de endereços IP com TI correspondem.
    • Ligações remotas de endereços IP.
    • Este IP tem uma correspondência de TI.
    • Informações da lista de observação (Pré-visualização).

    As informações baseiam-se nas seguintes origens de dados:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra ID)
    • SigninLogs (Microsoft Entra ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (UEBA do Microsoft Sentinel)
    • Heartbeat (Agente do Azure Monitor)
    • CommonSecurityLog (Microsoft Sentinel)

    Se quiser explorar mais aprofundadamente qualquer uma das informações neste painel, selecione a ligação que acompanha as informações. A ligação direciona-o para a página Investigação avançada , onde apresenta a consulta subjacente às informações, juntamente com os respetivos resultados não processados. Pode modificar a consulta ou desagregar os resultados para expandir a investigação ou apenas satisfazer a sua curiosidade.

    Ações de resposta

    As ações de resposta oferecem atalhos para analisar, investigar e defender contra ameaças.

    As ações de resposta são executadas na parte superior de uma página de entidade IP específica e incluem:

    Ação Descrição
    Adicionar indicador Abre um assistente para adicionar este endereço IP como um Indicador de Compromisso (IoC) à sua base de dados de conhecimento das Informações sobre Ameaças.
    Abrir as definições de IP da aplicação na cloud Abre o ecrã de configuração dos intervalos de endereços IP para adicionar o endereço IP ao mesmo.
    Investigar no Registo de atividades Abre o ecrã registo de Atividades do Microsoft 365 para procurar o endereço IP noutros registos.
    Ir caçar Abre a página Investigação avançada , com uma consulta de investigação incorporada para encontrar instâncias deste endereço IP.

    Sugestão

    Quer saber mais? Engage com a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender para Endpoint Tech Community.