Microsoft Defender 中的 IP 地址实体页

Microsoft Defender 门户中的 IP 地址实体页可帮助你检查设备与外部 Internet 协议 (IP) 地址之间的通信。

标识组织中与可疑或已知恶意 IP 地址通信的所有设备(例如命令和控制 (C2) 服务器),有助于确定潜在的泄露范围、关联的文件和受感染的设备。

可以在 IP 地址实体页的以下部分中找到信息:

重要

Microsoft Sentinel 现已在 Microsoft Defender 门户中的Microsoft统一安全操作平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

概述

在左窗格中,“ 概述 ”页提供 (IP 详细信息摘要(如果可用) )。

详细信息
安全信息
  • 打开事件
  • 活动警报
  • IP 详细信息
  • 组织 (ISP)
  • ASN
  • 国家/地区、州、城市
  • 载体
  • 纬度和经度
  • 邮政编码
  • 左侧还有一个面板,其中显示了首次看到/上次查看 (日志活动、从多个日志源收集的数据源) ,以及另一个面板,其中显示了从 Azure Monitoring Agent 检测信号表收集的已记录主机的列表。

    “概述”页的主体包含仪表板卡,其中显示了 (事件和警报计数,这些计数按包含 IP 地址的严重性) 分组,以及所指示时间段内组织中 IP 地址的流行率图表。

    事件和警报

    事件和警报 ”页显示事件和警报的列表,这些事件和警报包括 IP 地址作为其故事的一部分。 这些事件和警报来自多个Microsoft Defender 检测源中的任何一个,包括(如果已载入)Microsoft Sentinel。 此列表是 事件队列的筛选版本,显示事件或警报的简短说明,其严重性 (高、中、低、信息性) ,它在队列中的状态 (新的、正在进行的、已解决的) 、其分类 (未设置、假警报、真实警报) 、调查状态、类别,分配用于解决它的人员, 和观察到的最后一个活动。

    可以自定义为每个项显示的列。 还可以按严重性、状态或显示中的任何其他列筛选警报。

    “受影响的资产”列是指事件或警报中引用的所有用户、应用程序和其他实体。

    选择事件或警报后,将显示一个浮出控件。 在此面板中,可以管理事件或警报,并查看事件/警报编号和相关设备等更多详细信息。 一次可以选择多个警报。

    若要查看事件或警报的全页视图,请选择其标题。

    在组织中观察到

    在组织中观察到 ”部分提供了与该 IP 建立连接的设备列表,并且每个设备的最后事件详细信息 (列表限制为 100 台设备) 。

    Sentinel 事件

    如果组织已Microsoft Sentinel 加入 Defender 门户,则此附加选项卡位于“IP 地址”实体页上。 此选项卡 从 Microsoft Sentinel 导入 IP 实体页

    Sentinel 时间线

    此时间线显示与 IP 地址实体关联的警报。 这些警报包括在“ 事件和警报 ”选项卡上看到的警报,以及Microsoft Sentinel 从第三方非Microsoft数据源创建的警报。

    此时间线还显示引用此 IP 实体的其他调查的 书签搜寻 、来自外部数据源的 IP 活动事件,以及Microsoft Sentinel 异常规则检测到的异常行为。

    Insights

    实体见解是由Microsoft安全研究人员定义的查询,可帮助你更高效地进行调查。 这些见解会自动提出有关 IP 实体的大问题,以表格数据和图表的形式提供有价值的安全信息。 见解包括来自各种 IP 威胁情报源的数据、网络流量检查等,并包括用于检测异常行为的高级机器学习算法。

    下面是所示的一些见解:

    • Microsoft Defender 威胁情报信誉。
    • 病毒总 IP 地址。
    • 记录的未来 IP 地址。
    • Anomali IP 地址
    • AbuseIPDB。
    • 异常情况按 IP 地址计数。
    • 网络流量检查。
    • 与 TI 匹配的 IP 地址远程连接。
    • IP 地址远程连接。
    • 此 IP 具有 TI 匹配项。
    • 预览版) (监视列表见解。

    见解基于以下数据源:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra ID)
    • SigninLogs (Microsoft Entra ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • 检测信号 (Azure Monitor 代理)
    • CommonSecurityLog (Microsoft Sentinel)

    若要进一步浏览此面板中的任何见解,请选择见解附带的链接。 该链接将转到 “高级搜寻 ”页,其中显示见解基础的查询及其原始结果。 可以修改查询或向下钻取结果,以扩展调查范围或满足你的好奇心。

    响应操作

    响应操作提供了分析、调查和防御威胁的快捷方式。

    响应操作沿着特定 IP 实体页的顶部运行,包括:

    操作 说明
    添加指示器 打开一个向导,以便将此 IP 地址添加为威胁情报知识库 (IoC) 泄露指示器。
    打开云应用 IP 设置 打开“IP 地址范围配置”屏幕,以便向其添加 IP 地址。
    在活动日志中进行调查 打开 Microsoft 365 活动日志屏幕,以便查找其他日志中的 IP 地址。
    转到查寻 打开 “高级搜寻 ”页,其中包含用于查找此 IP 地址的实例的内置搜寻查询。

    提示

    想要了解更多信息? 在技术社区中与 Microsoft 安全社区互动: Microsoft Defender for Endpoint 技术社区