调查与Microsoft Defender for Endpoint警报关联的 IP 地址

适用于:

希望体验 Defender for Endpoint? 注册免费试用版

检查设备与外部 Internet 协议 (IP) 地址之间的可能通信。

标识组织中与可疑或已知恶意 IP 地址通信的所有设备(例如命令和控制 (C2) 服务器),有助于确定潜在的泄露范围、关联的文件和受感染的设备。

可以在 IP 地址视图中的以下部分找到信息:

  • IP 地理位置信息
  • 与此 IP 相关的警报
  • 组织观察中的 IP
  • 组织中的流行率

IP 地理位置信息

在左窗格中,页面提供 IP 详细信息 ((如果可用) )。

  • 组织 (ISP)
  • ASN
  • 国家/地区
  • 状态
  • 城市
  • 载体
  • Latitude
  • Longitude
  • 邮政编码

与此 IP 相关的警报部分提供与 IP 关联的警报列表。

在组织中观察到的 IP

在组织部分观察到的 IP 提供具有此 IP 连接的设备列表,每个设备的最后一个事件详细信息 (列表限制为 100 台设备) 。

流行

流行程度 ”部分显示已连接到此 IP 地址的设备数,以及首次看到和最后一次看到该 IP 的日期。 可以按时间段筛选此部分的结果;默认期限为 30 天。

调查外部 IP:

  1. “搜索”字段中输入 IP 地址。
  2. 选择“IP 建议”框并打开“IP 侧面板”。
  3. 选择“Enter”。

将显示有关 IP 地址的详细信息,包括:注册详细信息 ((如果可用) ),组织中与此 IP 地址通信的设备在可选择的时间段) (的流行情况,以及观察到组织中与此 IP 地址通信的设备。

注意

搜索仅针对与组织中的设备通信中观察到的 IP 地址返回结果。

使用搜索筛选器定义搜索条件。 还可以使用时间线搜索框筛选组织中观察到的所有设备与 IP 地址通信的显示结果、与通信关联的文件以及上次观察到的日期。

单击任何设备名称都会转到该设备的视图,你可以在其中继续调查报告的警报、行为和事件。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区