Страница сущности IP-адреса в Microsoft Defender
Страница сущности IP-адреса на портале Microsoft Defender помогает изучить возможные связи между устройствами и внешними IP-адресами.
Идентификация всех устройств в организации, которые обменились данными с предполагаемым или известным вредоносным IP-адресом, например серверами команд и управления (C2), помогает определить потенциальную область нарушения безопасности, связанные файлы и зараженные устройства.
Сведения можно найти в следующих разделах на странице сущности IP-адреса:
Важно!
Microsoft Sentinel теперь общедоступен в рамках единой платформы операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см. в статье Microsoft Sentinel на портале Microsoft Defender.
Обзор
В левой области на странице Обзор содержится сводка сведений об IP-адресах (если они доступны).
Раздел | Подробно |
---|---|
Сведения для безопасности | |
Сведения об IP-адресе |
В левой части также есть панель, показывающая действия журнала (время первого просмотра или последнего просмотра, источник данных), собранный из нескольких источников журналов, и другая панель со списком зарегистрированных узлов, собранных из таблиц пульса агента мониторинга Azure.
Основной текст страницы Обзор содержит карточки панели мониторинга с количеством инцидентов и оповещений (сгруппированных по серьезности), содержащим IP-адрес, а также диаграмму распространенности IP-адреса в организации за указанный период времени.
Инциденты и оповещения
На странице Инциденты и оповещения отображается список инцидентов и оповещений, включающих IP-адрес как часть их истории. Эти инциденты и оповещения поступают из любого из ряда источников обнаружения Microsoft Defender, включая, если они подключены, Microsoft Sentinel. Этот список представляет собой отфильтрованную версию очереди инцидентов и содержит краткое описание инцидента или оповещения, его серьезности (высокий, средний, низкий, информационный), состояние в очереди (новый, выполняется, разрешено), ее классификацию (не задано, ложное оповещение, истинное оповещение), состояние исследования, категорию, кому назначено решение и последнее наблюдаемое действие.
Вы можете настроить, какие столбцы будут отображаться для каждого элемента. Вы также можете отфильтровать оповещения по серьезности, состоянию или любому другому столбцу на дисплее.
Столбец затронутых ресурсов относится ко всем пользователям, приложениям и другим сущностям, на которые ссылается инцидент или оповещение.
При выборе инцидента или оповещения появляется всплывающее окно. На этой панели можно управлять инцидентом или оповещением и просматривать дополнительные сведения, например номер инцидента или оповещения и связанные устройства. Одновременно можно выбрать несколько оповещений.
Чтобы просмотреть полную страницу инцидента или оповещения, выберите его название.
Наблюдается в организации
В разделе Наблюдаемое в организации содержится список устройств, имеющих подключение к этому IP-адресу, и сведения о последних событиях для каждого устройства (список ограничен 100 устройствами).
События Sentinel
Если ваша организация подключена к порталу Defender Microsoft Sentinel, эта дополнительная вкладка находится на странице сущности IP-адреса. Эта вкладка импортирует страницу сущности IP из Microsoft Sentinel.
Временная шкала Sentinel
На этой временной шкале отображаются оповещения, связанные с сущностью IP-адреса. К этим оповещениям относятся оповещения, которые можно увидеть на вкладке Инциденты и оповещения , а также оповещения, созданные Microsoft Sentinel из сторонних источников данных.
На этой временной шкале также отображаются охоты за закладками из других исследований, которые ссылаются на эту сущность IP, события активности IP из внешних источников данных и необычное поведение, обнаруженное правилами аномалий Microsoft Sentinel.
Insights
Аналитика сущностей — это запросы, определенные исследователями безопасности Майкрософт, которые помогают вам более эффективно и эффективно исследовать. Эти аналитические сведения автоматически задают большие вопросы о сущности IP-адреса, предоставляя ценную информацию о безопасности в виде табличных данных и диаграмм. Аналитические сведения включают в себя данные из различных источников аналитики IP-угроз, проверки сетевого трафика и многого другого, а также включают расширенные алгоритмы машинного обучения для обнаружения аномального поведения.
Ниже приведены некоторые аналитические сведения.
- Репутация аналитики угроз в Microsoft Defender.
- Общий IP-адрес вируса.
- Записанный будущий IP-адрес.
- IP-адрес аномалий
- AbuseIPDB.
- Количество аномалий по IP-адресу.
- Проверка сетевого трафика.
- IP-адрес удаленных подключений с соответствием TI.
- IP-адреса удаленных подключений.
- Этот IP-адрес имеет соответствие TI.
- Аналитика списка просмотров (предварительная версия).
Аналитические сведения основаны на следующих источниках данных:
- Системный журнал (Linux)
- SecurityEvent (Windows)
- AuditLogs (идентификатор Microsoft Entra)
- SigninLogs (Идентификатор Microsoft Entra)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (агент Azure Monitor)
- CommonSecurityLog (Microsoft Sentinel)
Если вы хотите дополнительно изучить какие-либо аналитические сведения на этой панели, щелкните ссылку, сопровождающую аналитические сведения. По ссылке вы перейдете на страницу Расширенный поиск , где отображается запрос, лежащий в основе аналитических сведений, а также его необработанные результаты. Вы можете изменить запрос или детализировать результаты, чтобы расширить исследование или просто удовлетворить любопытство.
Действия реагирования
Действия по реагированию предлагают сочетания клавиш для анализа, исследования и защиты от угроз.
Действия ответа выполняются в верхней части страницы определенной сущности IP-адресов и включают:
Действие | Описание |
---|---|
Добавление индикатора | Открывает мастер для добавления этого IP-адреса в качестве индикатора компрометации (IoC) в базу знаний аналитики угроз. |
Параметры IP-адреса открытого облачного приложения | Открывает экран конфигурации диапазонов IP-адресов, чтобы добавить в него IP-адрес. |
Исследование в журнале действий | Открывает экран журнала действий Microsoft 365, чтобы найти IP-адрес в других журналах. |
Запуск слежения | Открывает страницу Расширенная охота со встроенным запросом для поиска экземпляров этого IP-адреса. |
Статьи по теме
- Обзор XDR в Microsoft Defender
- Включение XDR в Microsoft Defender
- Страница сущности устройства в Microsoft Defender
- Страница сущности пользователя в Microsoft Defender
- Интеграция XDR в Microsoft Defender с Microsoft Sentinel
- Подключение Microsoft Sentinel к Microsoft Defender XDR
Совет
Хотите узнать больше? Обратитесь к сообществу Майкрософт по безопасности в техническом сообществе Microsoft Defender для конечной точки Tech Community.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по