Поделиться через

Страница сущности IP-адреса в Microsoft Defender

  • Статья
  • Применяется к:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Страница сущности IP-адреса на портале Microsoft Defender помогает изучить возможные связи между устройствами и внешними IP-адресами.

Идентификация всех устройств в организации, которые обменились данными с предполагаемым или известным вредоносным IP-адресом, например серверами команд и управления (C2), помогает определить потенциальную область нарушения безопасности, связанные файлы и зараженные устройства.

Сведения можно найти в следующих разделах на странице сущности IP-адреса:

Важно!

Microsoft Sentinel теперь общедоступен в рамках единой платформы операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см. в статье Microsoft Sentinel на портале Microsoft Defender.

Обзор

В левой области на странице Обзор содержится сводка сведений об IP-адресах (если они доступны).

Раздел Подробно
Сведения для безопасности
  • Открытые инциденты
  • Активные оповещения
    		•
    Сведения об IP-адресе
  • Организация (поставщик услуг Интернета)
  • ASN
  • Страна/регион, штат, город
  • Носитель
  • Широта и долгота
  • Почтовый индекс
    		•

    В левой части также есть панель, показывающая действия журнала (время первого просмотра или последнего просмотра, источник данных), собранный из нескольких источников журналов, и другая панель со списком зарегистрированных узлов, собранных из таблиц пульса агента мониторинга Azure.

    Основной текст страницы Обзор содержит карточки панели мониторинга с количеством инцидентов и оповещений (сгруппированных по серьезности), содержащим IP-адрес, а также диаграмму распространенности IP-адреса в организации за указанный период времени.

    Инциденты и оповещения

    На странице Инциденты и оповещения отображается список инцидентов и оповещений, включающих IP-адрес как часть их истории. Эти инциденты и оповещения поступают из любого из ряда источников обнаружения Microsoft Defender, включая, если они подключены, Microsoft Sentinel. Этот список представляет собой отфильтрованную версию очереди инцидентов и содержит краткое описание инцидента или оповещения, его серьезности (высокий, средний, низкий, информационный), состояние в очереди (новый, выполняется, разрешено), ее классификацию (не задано, ложное оповещение, истинное оповещение), состояние исследования, категорию, кому назначено решение и последнее наблюдаемое действие.

    Вы можете настроить, какие столбцы будут отображаться для каждого элемента. Вы также можете отфильтровать оповещения по серьезности, состоянию или любому другому столбцу на дисплее.

    Столбец затронутых ресурсов относится ко всем пользователям, приложениям и другим сущностям, на которые ссылается инцидент или оповещение.

    При выборе инцидента или оповещения появляется всплывающее окно. На этой панели можно управлять инцидентом или оповещением и просматривать дополнительные сведения, например номер инцидента или оповещения и связанные устройства. Одновременно можно выбрать несколько оповещений.

    Чтобы просмотреть полную страницу инцидента или оповещения, выберите его название.

    Наблюдается в организации

    В разделе Наблюдаемое в организации содержится список устройств, имеющих подключение к этому IP-адресу, и сведения о последних событиях для каждого устройства (список ограничен 100 устройствами).

    События Sentinel

    Если ваша организация подключена к порталу Defender Microsoft Sentinel, эта дополнительная вкладка находится на странице сущности IP-адреса. Эта вкладка импортирует страницу сущности IP из Microsoft Sentinel.

    Временная шкала Sentinel

    На этой временной шкале отображаются оповещения, связанные с сущностью IP-адреса. К этим оповещениям относятся оповещения, которые можно увидеть на вкладке Инциденты и оповещения , а также оповещения, созданные Microsoft Sentinel из сторонних источников данных.

    На этой временной шкале также отображаются охоты за закладками из других исследований, которые ссылаются на эту сущность IP, события активности IP из внешних источников данных и необычное поведение, обнаруженное правилами аномалий Microsoft Sentinel.

    Insights

    Аналитика сущностей — это запросы, определенные исследователями безопасности Майкрософт, которые помогают вам более эффективно и эффективно исследовать. Эти аналитические сведения автоматически задают большие вопросы о сущности IP-адреса, предоставляя ценную информацию о безопасности в виде табличных данных и диаграмм. Аналитические сведения включают в себя данные из различных источников аналитики IP-угроз, проверки сетевого трафика и многого другого, а также включают расширенные алгоритмы машинного обучения для обнаружения аномального поведения.

    Ниже приведены некоторые аналитические сведения.

    • Репутация аналитики угроз в Microsoft Defender.
    • Общий IP-адрес вируса.
    • Записанный будущий IP-адрес.
    • IP-адрес аномалий
    • AbuseIPDB.
    • Количество аномалий по IP-адресу.
    • Проверка сетевого трафика.
    • IP-адрес удаленных подключений с соответствием TI.
    • IP-адреса удаленных подключений.
    • Этот IP-адрес имеет соответствие TI.
    • Аналитика списка просмотров (предварительная версия).

    Аналитические сведения основаны на следующих источниках данных:

    • Системный журнал (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (идентификатор Microsoft Entra)
    • SigninLogs (Идентификатор Microsoft Entra)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • Heartbeat (агент Azure Monitor)
    • CommonSecurityLog (Microsoft Sentinel)

    Если вы хотите дополнительно изучить какие-либо аналитические сведения на этой панели, щелкните ссылку, сопровождающую аналитические сведения. По ссылке вы перейдете на страницу Расширенный поиск , где отображается запрос, лежащий в основе аналитических сведений, а также его необработанные результаты. Вы можете изменить запрос или детализировать результаты, чтобы расширить исследование или просто удовлетворить любопытство.

    Действия реагирования

    Действия по реагированию предлагают сочетания клавиш для анализа, исследования и защиты от угроз.

    Действия ответа выполняются в верхней части страницы определенной сущности IP-адресов и включают:

    Действие Описание
    Добавление индикатора Открывает мастер для добавления этого IP-адреса в качестве индикатора компрометации (IoC) в базу знаний аналитики угроз.
    Параметры IP-адреса открытого облачного приложения Открывает экран конфигурации диапазонов IP-адресов, чтобы добавить в него IP-адрес.
    Исследование в журнале действий Открывает экран журнала действий Microsoft 365, чтобы найти IP-адрес в других журналах.
    Запуск слежения Открывает страницу Расширенная охота со встроенным запросом для поиска экземпляров этого IP-адреса.

    Совет

    Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.