Microsoft Defender中的 IP 地址实体页
Microsoft Defender门户中的 IP 地址实体页可帮助你检查设备与外部 Internet 协议 (IP) 地址之间的通信。
标识组织中与可疑或已知恶意 IP 地址通信的所有设备(例如命令和控制 (C2) 服务器),有助于确定潜在的泄露范围、关联的文件和受感染的设备。
可以在 IP 地址实体页的以下部分中找到信息:
重要
Microsoft Sentinel在 Microsoft Defender 门户中Microsoft的统一安全操作平台中正式发布。 对于预览版,Microsoft Sentinel在 Defender 门户中可用,无需Microsoft Defender XDR或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的Microsoft Sentinel。
在左窗格中,“ 概述 ”页提供 (IP 详细信息摘要(如果可用) )。
节 | 详细信息 |
---|---|
安全信息 | |
IP 详细信息 |
左侧还有一个面板,其中显示了首次看到/上次查看 (日志活动、从多个日志源收集的数据源) ,以及另一个面板,其中显示了从 Azure Monitoring Agent 检测信号表收集的已记录主机的列表。
“概述”页的main正文包含仪表板卡,其中显示 ( (包含 IP 地址的严重性) 分组的事件和警报计数,以及指示的时间段内组织中 IP 地址的流行率图表。
“ 事件和警报 ”页显示事件和警报的列表,这些事件和警报包括 IP 地址作为其故事的一部分。 这些事件和警报来自许多Microsoft Defender检测源中的任何一个,包括(如果载入)Microsoft Sentinel。 此列表是 事件队列的筛选版本,显示事件或警报的简短说明,其严重性 (高、中、低、信息性) ,它在队列中的状态 (新的、正在进行的、已解决的) 、其分类 (未设置、假警报、真实警报) 、调查状态、类别,分配用于解决它的人员, 和观察到的最后一个活动。
可以自定义为每个项显示的列。 还可以按严重性、状态或显示中的任何其他列筛选警报。
“受影响的资产”列是指事件或警报中引用的所有用户、应用程序和其他实体。
选择事件或警报后,将显示一个浮出控件。 在此面板中,可以管理事件或警报,并查看事件/警报编号和相关设备等更多详细信息。 一次可以选择多个警报。
若要查看事件或警报的全页视图,请选择其标题。
“ 在组织中观察到 ”部分提供了与该 IP 建立连接的设备列表,并且每个设备的最后事件详细信息 (列表限制为 100 台设备) 。
如果组织已Microsoft Sentinel加入 Defender 门户,则此附加选项卡位于“IP 地址”实体页上。 此选项卡从 Microsoft Sentinel 导入 IP 实体页。
此时间线显示与 IP 地址实体关联的警报。 这些警报包括“事件和警报”选项卡上的警报,以及Microsoft Sentinel从第三方非Microsoft数据源创建的警报。
此时间线还显示引用此 IP 实体的其他调查的书签搜寻、来自外部数据源的 IP 活动事件以及Microsoft Sentinel异常规则检测到的异常行为。
实体见解是由Microsoft安全研究人员定义的查询,可帮助你更高效地进行调查。 这些见解会自动提出有关 IP 实体的大问题,以表格数据和图表的形式提供有价值的安全信息。 见解包括来自各种 IP 威胁情报源的数据、网络流量检查等,并包括用于检测异常行为的高级机器学习算法。
下面是所示的一些见解:
- Microsoft Defender 威胁智能信誉。
- 病毒总 IP 地址。
- 记录的未来 IP 地址。
- Anomali IP 地址
- AbuseIPDB。
- 异常情况按 IP 地址计数。
- 网络流量检查。
- 与 TI 匹配的 IP 地址远程连接。
- IP 地址远程连接。
- 此 IP 具有 TI 匹配项。
- 预览版) (监视列表见解。
见解基于以下数据源:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- 检测信号 (Azure Monitor 代理)
- CommonSecurityLog (Microsoft Sentinel)
若要进一步浏览此面板中的任何见解,请选择见解附带的链接。 该链接将转到 “高级搜寻 ”页,其中显示见解基础的查询及其原始结果。 可以修改查询或向下钻取结果,以扩展调查范围或满足你的好奇心。
响应操作提供了分析、调查和防御威胁的快捷方式。
响应操作沿着特定 IP 实体页的顶部运行,包括:
操作 | 说明 |
---|---|
添加指示器 | 打开一个向导,以便将此 IP 地址添加为威胁情报知识库 (IoC) 泄露指示器。 |
打开云应用 IP 设置 | 打开“IP 地址范围配置”屏幕,以便向其添加 IP 地址。 |
在活动日志中进行调查 | 打开 Microsoft 365 活动日志屏幕,以便查找其他日志中的 IP 地址。 |
转到查寻 | 打开 “高级搜寻 ”页,其中包含用于查找此 IP 地址的实例的内置搜寻查询。 |
- Microsoft Defender XDR概述
- 打开Microsoft Defender XDR
- Microsoft Defender 中的设备实体页
- Microsoft Defender中的用户实体页
- Microsoft Defender XDR与 Microsoft Sentinel 集成
- 将 Microsoft Sentinel 连接到 Microsoft Defender XDR
提示
想要了解更多信息? Engage技术社区中的Microsoft安全社区:Microsoft Defender for Endpoint技术社区。