Microsoft Defender中的IP位址實體頁面

Microsoft Defender 入口網站中的 [IP 位址實體] 頁面可協助您檢查裝置與外部因特網通訊協議之間可能的通訊, (IP) 位址。

識別組織中與可疑或已知惡意IP位址通訊的所有裝置,例如命令和控制 (C2) 伺服器,有助於判斷可能的入侵範圍、相關聯的檔案和受感染的裝置。

您可以在 [IP 位址實體] 頁面中找到下列各節的資訊:

重要

Microsoft Sentinel 已在 Microsoft Defender 入口網站中Microsoft的統一安全性作業平臺內正式推出。 如需預覽,Microsoft Sentinel 可在Defender入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或E5授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

概觀

在左窗格中,[ 概觀 ] 頁面會提供可用) 的IP詳細數據 (摘要。

區段 詳細資料
安全性資訊
  • 開啟事件
  • 作用中警示
  • IP 詳細數據
  • 組織 (ISP)
  • ASN
  • 國家/地區、州、城市
  • 載體
  • 緯度和經度
  • 郵遞區號
  • 左側也有一個面板,其中顯示記錄活動 (第一次看見/最後一次看見、數據源) 從數個記錄來源收集,而另一個面板則顯示從 Azure 監視代理程式活動訊號數據表收集的已記錄主機清單。

    [ 概觀] 頁面的主體包含儀錶板卡片,其中顯示 (依嚴重性分組的事件和警示計數,) 包含IP位址,以及指出期間內組織中IP位址普遍性的圖表。

    事件和警示

    [ 事件和警示] 頁面會顯示事件和警示的清單,其中包含IP位址作為其劇本的一部分。 這些事件和警示來自任何一些 Microsoft Defender 偵測來源,包括,如果已上線,Microsoft Sentinel。 此清單是 事件佇列的篩選版本,並顯示事件或警示的簡短描述、其嚴重性 (高、中、低、資訊) 、其在佇列中的狀態 (新的、進行中、已解決的) ,其分類 (未設定、false 警示、true 警示) 、調查狀態、類別、指派給其解決的人員、 觀察到的最後一個活動。

    您可以自訂要針對每個項目顯示哪些資料列。 您也可以依嚴重性、狀態或顯示器中的任何其他數據行來篩選警示。

    受影響的資產數據行是指事件或警示中參考的所有使用者、應用程式和其他實體。

    選取事件或警示時,會出現飛出視窗。 您可以從此面板管理事件或警示,並檢視更多詳細數據,例如事件/警示編號和相關裝置。 您可以一次選取多個警示。

    若要查看事件或警示的完整頁面檢視,請選取其標題。

    在組織中觀察到

    [ 組織中觀察 到] 區段提供與此IP連線的裝置清單,以及清單限製為100個裝置) (每個裝置的最後一個事件詳細數據。

    Sentinel 事件

    如果您的組織已將 Microsoft Sentinel 上線至 Defender 入口網站,則此額外的索引卷標會在 [IP 位址實體] 頁面上。 此索引標籤會從 Microsoft Sentinel 匯入IP實體頁面

    Sentinel 時間軸

    此時程表會顯示與IP位址實體相關聯的警示。 這些警示包括 [事件和警示] 索引標籤上顯示的警示,以及 Microsoft Sentinel 從第三方、非Microsoft數據源建立的警示。

    此時程表也會顯示參考此IP實體的其他調查、來自外部數據源的IP活動事件,以及 Microsoft Sentinel異常規則所偵測到的異常行為的書籤搜捕。

    Insights

    實體深入解析是由Microsoft安全性研究人員所定義的查詢,可協助您更有效率且更有效率地調查。 這些深入解析會自動詢問IP實體的相關重要問題,並以表格式數據和圖表的形式提供寶貴的安全性資訊。 這些深入解析包括來自各種IP威脅情報來源的數據、網路流量檢查等等,並包含可偵測異常行為的進階機器學習演算法。

    以下是一些顯示的深入解析:

    • Microsoft Defender 威脅情報 信譽。
    • 病毒總IP位址。
    • 記錄的未來IP位址。
    • 異常IP位址
    • AbuseIPDB。
    • 依IP位址的異常計數。
    • 網路流量檢查。
    • 具有 TI 相符的 IP 位址遠端連線。
    • IP 位址遠端連線。
    • 此 IP 具有 TI 比對。
    • 預覽) (關注清單深入解析。

    深入解析是以下欄數據源為基礎:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra ID)
    • signinLogs (Microsoft Entra ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • 活動訊號 (Azure 監視器代理程式)
    • CommonSecurityLog (Microsoft Sentinel)

    如果您想要進一步探索此面板中的任何深入解析,請選取隨附於深入解析的連結。 連結會帶您前往 [ 進階搜捕 ] 頁面,其中會顯示深入解析的基礎查詢及其原始結果。 您可以修改查詢或向下切入結果,以展開您的調查,或只滿足您的好奇心。

    回應動作

    回應動作提供分析、調查及防禦威脅的快捷方式。

    回應動作會沿著特定IP實體頁面的頂端執行,包括:

    動作 描述
    新增指標 開啟精靈,讓您將此IP位址新增為威脅情報知識庫 (IoC) 的入侵指標。
    開啟雲端應用程式IP設定 開啟 [IP 位址範圍] 組態畫面,讓您將IP位址新增至其中。
    在活動記錄中調查 開啟 [Microsoft 365 活動記錄] 畫面,讓您在其他記錄中尋找IP位址。
    開始搜補 開啟 [ 進階搜捕 ] 頁面,內建搜捕查詢以尋找此IP位址的實例。

    提示

    想要深入了解? Engage 技術社群中的Microsoft安全性社群:適用於端點的 Microsoft Defender 技術社群。