调查与Microsoft Defender for Endpoint警报关联的 IP 地址
适用于:
希望体验 Defender for Endpoint? 注册免费试用版。
检查设备与外部 Internet 协议 (IP) 地址之间的可能通信。
标识组织中与可疑或已知恶意 IP 地址通信的所有设备(例如命令和控制 (C2) 服务器),有助于确定潜在的泄露范围、关联的文件和受感染的设备。
可以在 IP 地址视图中的以下部分找到信息:
- IP 地理位置信息
- 与此 IP 相关的警报
- 组织观察中的 IP
- 组织中的流行率
在左窗格中,页面提供 IP 详细信息 ((如果可用) )。
- 组织 (ISP)
- ASN
- 国家/地区
- 状态
- 城市
- 载体
- Latitude
- Longitude
- 邮政编码
与此 IP 相关的警报部分提供与 IP 关联的警报列表。
在组织部分观察到的 IP 提供具有此 IP 连接的设备列表,每个设备的最后一个事件详细信息 (列表限制为 100 台设备) 。
“ 流行程度 ”部分显示已连接到此 IP 地址的设备数,以及首次看到和最后一次看到该 IP 的日期。 可以按时间段筛选此部分的结果;默认期限为 30 天。
调查外部 IP:
- 在“搜索”字段中输入 IP 地址。
- 选择“IP 建议”框并打开“IP 侧面板”。
- 选择“Enter”。
将显示有关 IP 地址的详细信息,包括:注册详细信息 ((如果可用) ),组织中与此 IP 地址通信的设备在可选择的时间段) (的流行情况,以及观察到组织中与此 IP 地址通信的设备。
备注
搜索仅针对与组织中的设备通信中观察到的 IP 地址返回结果。
使用搜索筛选器定义搜索条件。 还可以使用时间线搜索框筛选组织中观察到的所有设备与 IP 地址通信的显示结果、与通信关联的文件以及上次观察到的日期。
单击任何设备名称都会转到该设备的视图,你可以在其中继续调查报告的警报、行为和事件。
- 查看并组织 Microsoft Defender for Endpoint 警报队列
- 管理Microsoft Defender for Endpoint警报
- 调查Microsoft Defender for Endpoint警报
- 调查与Microsoft Defender for Endpoint警报关联的文件
- 调查“Microsoft Defender for Endpoint设备”列表中的设备
- 调查与Microsoft Defender for Endpoint警报关联的域
- 在 Microsoft Defender for Endpoint 中调查用户帐户
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender for Endpoint技术社区。