Undersöka en IP-adress som är associerad med en Microsoft Defender för Endpoint avisering
Gäller för:
- Microsoft Defender för Endpoint Abonnemang 1
- Microsoft Defender för Endpoint Abonnemang 2
- Microsoft Defender XDR
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Granska eventuell kommunikation mellan dina enheter och externa IP-adresser (Internet Protocol).
Genom att identifiera alla enheter i organisationen som kommunicerade med en misstänkt eller känd skadlig IP-adress, till exempel C2-servrar (Command and Control), kan du fastställa omfattningen av intrång, associerade filer och infekterade enheter.
Du hittar information från följande avsnitt i vyn IP-adress:
- GEO-information för IP
- Aviseringar relaterade till den här IP-adressen
- IP i organisationsobservationer
- Prevalens i organisationen
I den vänstra rutan innehåller sidan IP-information (om tillgängligt).
- Organisation (ISP)
- ASN
- Land
- Tillstånd
- Ort
- Bärare
- Latitude
- Longitud
- Postnummer
Aviseringar som är relaterade till det här IP-avsnittet innehåller en lista över aviseringar som är associerade med IP-adressen.
Avsnittet IP som observeras i organisationen innehåller en lista över enheter som har en anslutning till den här IP-adressen och den senaste händelseinformationen för varje enhet (listan är begränsad till 100 enheter).
Avsnittet Prevalens visar hur många enheter som har anslutit till den här IP-adressen och när IP-adressen först och senast sågs. Du kan filtrera resultatet av det här avsnittet efter tidsperiod. standardperioden är 30 dagar.
Undersök en extern IP-adress:
- Ange IP-adressen i fältet Search.
- Välj rutan IP-förslag och öppna panelen på IP-sidan.
- Välj Retur.
Information om IP-adressen visas, inklusive: registreringsinformation (om tillgängligt), förekomsten av enheter i organisationen som kommunicerade med den här IP-adressen (under den valda tidsperioden) och de enheter i organisationen som observerades kommunicera med den här IP-adressen.
Anteckning
Search resultat returneras endast för IP-adresser som observeras i kommunikationen med enheter i organisationen.
Använd sökfiltren för att definiera sökvillkoren. Du kan också använda sökrutan för tidslinjen för att filtrera de visade resultaten för alla enheter i organisationen som observerats kommunicera med IP-adressen, filen som är associerad med kommunikationen och det senaste datum som observerats.
Om du klickar på något av enhetsnamnen kommer du till enhetens vy, där du kan fortsätta att undersöka rapporterade aviseringar, beteenden och händelser.
- Visa och organisera kön för Microsoft Defender för Endpoint-aviseringar
- Hantera Microsoft Defender för Endpoint aviseringar
- Undersöka Microsoft Defender för Endpoint aviseringar
- Undersöka en fil som är associerad med en Microsoft Defender för Endpoint avisering
- Undersöka enheter i listan Microsoft Defender för Endpoint enheter
- Undersöka en domän som är associerad med en Microsoft Defender för Endpoint avisering
- Undersöka ett användarkonto i Microsoft Defender för Endpoint
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.