Sidan IP-adressentitet i Microsoft Defender
Sidan IP-adressentitet i Microsoft Defender-portalen hjälper dig att undersöka eventuell kommunikation mellan dina enheter och externa IP-adresser (Internet Protocol).
Genom att identifiera alla enheter i organisationen som kommunicerade med en misstänkt eller känd skadlig IP-adress, till exempel C2-servrar (Command and Control), kan du fastställa omfattningen av intrång, associerade filer och infekterade enheter.
Du hittar information från följande avsnitt på entitetssidan för IP-adress:
Viktigt
Microsoft Sentinel är allmänt tillgängligt på Microsofts enhetliga säkerhetsåtgärdsplattform i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
I den vänstra rutan innehåller översiktssidan en sammanfattning av IP-information (om det är tillgängligt).
Sektion | Information |
---|---|
Säkerhetsinformation | |
IP-information |
Den vänstra sidan har också en panel som visar loggaktivitet (tid först sett/senast sett, datakälla) som samlats in från flera loggkällor och en annan panel som visar en lista över loggade värdar som samlats in från pulsslagstabeller i Azure Monitoring Agent.
Huvudtexten på översiktssidan innehåller instrumentpanelskort som visar antalet incidenter och aviseringar (grupperade efter allvarlighetsgrad) som innehåller IP-adressen och ett diagram över förekomsten av IP-adressen i organisationen under den angivna tidsperioden.
Sidan Incidenter och aviseringar visar en lista över incidenter och aviseringar som innehåller IP-adressen som en del av deras berättelse. Dessa incidenter och aviseringar kommer från något av flera Microsoft Defender identifieringskällor, inklusive, om de registreras, Microsoft Sentinel. Den här listan är en filtrerad version av incidentkön och visar en kort beskrivning av incidenten eller aviseringen, dess allvarlighetsgrad (hög, medel, låg, information), dess status i kön (ny, pågår, löst), dess klassificering (inte inställd, falsk avisering, sann avisering), undersökningstillstånd, kategori, vem som har tilldelats att åtgärda den och senaste aktivitet observerad.
Du kan anpassa vilka kolumner som visas för varje objekt. Du kan också filtrera aviseringarna efter allvarlighetsgrad, status eller någon annan kolumn i visningen.
Kolumnen påverkade tillgångar refererar till alla användare, program och andra entiteter som refereras i incidenten eller aviseringen.
När en incident eller avisering har valts visas en utfällning. I den här panelen kan du hantera incidenten eller aviseringen och visa mer information, till exempel incident-/aviseringsnummer och relaterade enheter. Flera aviseringar kan väljas samtidigt.
Om du vill se en helsidesvy över en incident eller avisering väljer du dess rubrik.
Avsnittet Observerad i organisation innehåller en lista över enheter som har en anslutning till den här IP-adressen och den senaste händelseinformationen för varje enhet (listan är begränsad till 100 enheter).
Om din organisation registrerade Microsoft Sentinel till Defender-portalen finns den här ytterligare fliken på entitetssidan för IP-adress. På den här fliken importeras IP-entitetssidan från Microsoft Sentinel.
Den här tidslinjen visar aviseringar som är associerade med IP-adressentiteten. Dessa aviseringar inkluderar de som visas på fliken Incidenter och aviseringar och de som skapats av Microsoft Sentinel från datakällor från tredje part som inte kommer från Microsoft.
Den här tidslinjen visar också bokmärkta jakter från andra undersökningar som refererar till den här IP-entiteten, IP-aktivitetshändelser från externa datakällor och ovanliga beteenden som identifieras av Microsoft Sentinel avvikelseregler.
Entitetsinsikter är frågor som definieras av Microsofts säkerhetsforskare för att hjälpa dig att undersöka mer effektivt och effektivt. Dessa insikter ställer automatiskt de stora frågorna om din IP-entitet och ger värdefull säkerhetsinformation i form av tabelldata och diagram. Insikterna omfattar data från olika IP-hotinformationskällor, nätverkstrafikgranskning med mera och innehåller avancerade maskininlärningsalgoritmer för att identifiera avvikande beteende.
Följande är några av de insikter som visas:
- Microsoft Defender Hotinformation rykte.
- Total IP-adress för virus.
- Registrerad framtida IP-adress.
- Ip-adress för avvikelser
- AbuseIPDB.
- Avvikelser räknas efter IP-adress.
- Kontroll av nätverkstrafik.
- Fjärranslutningar för IP-adresser med TI-matchning.
- Fjärranslutningar för IP-adresser.
- Den här IP-adressen har en TI-matchning.
- Visningslista insikter (förhandsversion).
Insikterna baseras på följande datakällor:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Pulsslag (Azure Monitor-agent)
- CommonSecurityLog (Microsoft Sentinel)
Om du vill utforska någon av insikterna i den här panelen ytterligare väljer du länken som medföljer insikten. Länken tar dig till sidan Avancerad jakt , där den visar frågan som ligger till grund för insikten, tillsammans med dess råresultat. Du kan ändra frågan eller öka detaljnivån i resultaten för att utöka undersökningen eller bara tillfredsställa din nyfikenhet.
Svarsåtgärder erbjuder genvägar för att analysera, undersöka och skydda mot hot.
Svarsåtgärder körs överst på en specifik IP-entitetssida och omfattar:
Åtgärd | Beskrivning |
---|---|
Lägg till indikator | Öppnar en guide där du kan lägga till den här IP-adressen som en indikator för kompromettering (IoC) i din kunskapsbas för hotinformation. |
Öppna IP-inställningar för molnappen | Öppnar konfigurationsskärmen för IP-adressintervall där du kan lägga till IP-adressen till den. |
Undersök i aktivitetsloggen | Öppnar microsoft 365-aktivitetsloggskärmen så att du kan söka efter IP-adressen i andra loggar. |
Gå på jakt | Öppnar sidan Avancerad jakt med en inbyggd jaktfråga för att hitta instanser av den här IP-adressen. |
- Microsoft Defender XDR översikt
- Aktivera Microsoft Defender XDR
- Enhetsentitetssida i Microsoft Defender
- Sidan Användarentitet i Microsoft Defender
- Microsoft Defender XDR integrering med Microsoft Sentinel
- Ansluta Microsoft Sentinel till Microsoft Defender XDR
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender för Endpoint Tech Community.