Страница сущности IP-адреса в Microsoft Defender
Страница сущности IP-адреса на портале Microsoft Defender помогает изучить возможные связи между устройствами и внешними IP-адресами.
Идентификация всех устройств в организации, которые обменились данными с предполагаемым или известным вредоносным IP-адресом, например серверами команд и управления (C2), помогает определить потенциальные область нарушения безопасности, связанные файлы и зараженные устройства.
Сведения можно найти в следующих разделах на странице сущности IP-адреса:
Важно!
Microsoft Sentinel общедоступна на единой платформе операций безопасности Майкрософт на портале Microsoft Defender. В предварительной версии Microsoft Sentinel доступны на портале Defender без Microsoft Defender XDR или лицензии E5. Дополнительные сведения см. в разделе Microsoft Sentinel на портале Microsoft Defender.
В левой области на странице Обзор содержится сводка сведений об IP-адресах (если они доступны).
Раздел | Сведения |
---|---|
Сведения для безопасности | |
Сведения об IP-адресе |
В левой части также есть панель, показывающая действия журнала (время первого просмотра или последнего просмотра, источник данных), собранный из нескольких источников журналов, и другая панель со списком зарегистрированных узлов, собранных из таблиц пульса агента мониторинга Azure.
Текст main страницы "Обзор" содержит карточки панели мониторинга с количеством инцидентов и оповещений (сгруппированных по серьезности), содержащим IP-адрес, а также диаграмму распространенности IP-адреса в организации за указанный период времени.
На странице Инциденты и оповещения отображается список инцидентов и оповещений, включающих IP-адрес как часть их истории. Эти инциденты и оповещения поступают из любого из ряда источников обнаружения Microsoft Defender, включая, если они подключены, Microsoft Sentinel. Этот список представляет собой отфильтрованную версию очереди инцидентов и содержит краткое описание инцидента или оповещения, его серьезности (высокий, средний, низкий, информационный), состояние в очереди (новый, выполняется, разрешено), ее классификацию (не задано, ложное оповещение, истинное оповещение), состояние исследования, категорию, кому назначено решение и последнее наблюдаемое действие.
Вы можете настроить, какие столбцы будут отображаться для каждого элемента. Вы также можете отфильтровать оповещения по серьезности, состоянию или любому другому столбцу на дисплее.
Столбец затронутых ресурсов относится ко всем пользователям, приложениям и другим сущностям, на которые ссылается инцидент или оповещение.
При выборе инцидента или оповещения появляется всплывающее окно. На этой панели можно управлять инцидентом или оповещением и просматривать дополнительные сведения, например номер инцидента или оповещения и связанные устройства. Одновременно можно выбрать несколько оповещений.
Чтобы просмотреть полную страницу инцидента или оповещения, выберите его название.
В разделе Наблюдаемое в организации содержится список устройств, имеющих подключение к этому IP-адресу, и сведения о последних событиях для каждого устройства (список ограничен 100 устройствами).
Если ваша организация подключена Microsoft Sentinel к порталу Defender, эта дополнительная вкладка находится на странице сущности IP-адреса. Эта вкладка импортирует страницу сущности IP из Microsoft Sentinel.
В этом временная шкала отображаются оповещения, связанные с сущностью IP-адреса. К этим оповещениям относятся оповещения, которые можно увидеть на вкладке Инциденты и оповещения, а также оповещения, созданные Microsoft Sentinel из сторонних источников данных.
В этом временная шкала также показаны поиски закладок из других исследований, ссылающихся на эту сущность IP- адреса, события активности IP-адресов из внешних источников данных и необычное поведение, обнаруженное правилами аномалий Microsoft Sentinel.
Аналитика сущностей — это запросы, определенные исследователями безопасности Майкрософт, которые помогают вам более эффективно и эффективно исследовать. Эти аналитические сведения автоматически задают большие вопросы о сущности IP-адреса, предоставляя ценную информацию о безопасности в виде табличных данных и диаграмм. Аналитические сведения включают в себя данные из различных источников аналитики IP-угроз, проверки сетевого трафика и многого другого, а также включают расширенные алгоритмы машинного обучения для обнаружения аномального поведения.
Ниже приведены некоторые аналитические сведения.
- Аналитика угроз Microsoft Defender репутацию.
- Общий IP-адрес вируса.
- Записанный будущий IP-адрес.
- IP-адрес аномалий
- AbuseIPDB.
- Количество аномалий по IP-адресу.
- Проверка сетевого трафика.
- IP-адрес удаленных подключений с соответствием TI.
- IP-адреса удаленных подключений.
- Этот IP-адрес имеет соответствие TI.
- Аналитика списка просмотров (предварительная версия).
Аналитические сведения основаны на следующих источниках данных:
- Системный журнал (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (агент Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Если вы хотите дополнительно изучить какие-либо аналитические сведения на этой панели, щелкните ссылку, сопровождающую аналитические сведения. По ссылке вы перейдете на страницу Расширенный поиск , где отображается запрос, лежащий в основе аналитических сведений, а также его необработанные результаты. Вы можете изменить запрос или детализировать результаты, чтобы расширить исследование или просто удовлетворить любопытство.
Действия по реагированию предлагают сочетания клавиш для анализа, исследования и защиты от угроз.
Действия ответа выполняются в верхней части страницы определенной сущности IP-адресов и включают:
Действие | Описание |
---|---|
Добавление индикатора | Открывает мастер для добавления этого IP-адреса в качестве индикатора компрометации (IoC) в базу знаний аналитики угроз. |
Параметры IP-адреса открытого облачного приложения | Открывает экран конфигурации диапазонов IP-адресов, чтобы добавить в него IP-адрес. |
Исследование в журнале действий | Открывает экран журнала действий Microsoft 365, чтобы найти IP-адрес в других журналах. |
Запуск слежения | Открывает страницу Расширенная охота со встроенным запросом для поиска экземпляров этого IP-адреса. |
- Обзор Microsoft Defender XDR
- Включение Microsoft Defender XDR
- Страница сущности устройства в Microsoft Defender
- Страница сущности пользователя в Microsoft Defender
- интеграция Microsoft Defender XDR с Microsoft Sentinel
- Подключение Microsoft Sentinel к Microsoft Defender XDR
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.