Microsoft Defender 中的 IP 位址實體頁面
Microsoft Defender 入口網站中的 [IP 位址實體] 頁面可協助您檢查裝置與外部因特網通訊協定之間的可能通訊, (IP) 位址。
識別組織中與可疑或已知惡意IP位址通訊的所有裝置,例如命令和控制 (C2) 伺服器,有助於判斷可能的入侵範圍、相關聯的檔案和受感染的裝置。
您可以在 [IP 位址實體] 頁面中找到下列各節的資訊:
重要事項
Microsoft Sentinel 現在已在 Microsoft Defender 入口網站的Microsoft統一安全性作業平臺內正式推出。 如需詳細資訊, 請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
概觀
在左窗格中,[ 概觀 ] 頁面會提供可用) 的IP詳細數據 (摘要。
區段 | 詳細資料 |
---|---|
安全性資訊 | |
IP 詳細數據 |
左側也有一個面板,其中顯示記錄活動 (第一次看見/最後一次看見、數據源) 從數個記錄來源收集,而另一個面板則顯示從 Azure 監視代理程式活動訊號數據表收集的已記錄主機清單。
[ 概觀] 頁面的主體包含儀錶板卡片,其中顯示 (依嚴重性分組的事件和警示計數,) 包含IP位址,以及指出期間內組織中IP位址普遍性的圖表。
事件和警示
[ 事件和警示] 頁面會顯示事件和警示的清單,其中包含IP位址作為其劇本的一部分。 這些事件和警示來自任何Microsoft Defender 偵測來源,包括如果上線,Microsoft Sentinel。 此清單是 事件佇列的篩選版本,並顯示事件或警示的簡短描述、其嚴重性 (高、中、低、資訊) 、其在佇列中的狀態 (新的、進行中、已解決的) ,其分類 (未設定、false 警示、true 警示) 、調查狀態、類別、指派給其解決的人員、 觀察到的最後一個活動。
您可以自訂要針對每個項目顯示哪些資料列。 您也可以依嚴重性、狀態或顯示器中的任何其他數據行來篩選警示。
受影響的資產數據行是指事件或警示中參考的所有使用者、應用程式和其他實體。
選取事件或警示時,會出現飛出視窗。 您可以從此面板管理事件或警示,並檢視更多詳細數據,例如事件/警示編號和相關裝置。 您可以一次選取多個警示。
若要查看事件或警示的完整頁面檢視,請選取其標題。
在組織中觀察到
[ 組織中觀察 到] 區段提供與此IP連線的裝置清單,以及清單限製為100個裝置) (每個裝置的最後一個事件詳細數據。
Sentinel 事件
如果您的組織已Microsoft Sentinel 上線至Defender入口網站,則此額外的索引標籤會在 [IP 位址實體] 頁面上。 此索引標籤會 從 Microsoft Sentinel 匯入IP實體頁面。
Sentinel 時間軸
此時程表會顯示與IP位址實體相關聯的警示。 這些警示包括 [ 事件和警示 ] 索引卷標上顯示的警示,以及由 Microsoft Sentinel 從第三方、非Microsoft數據源建立的警示。
此時間軸也會顯示參考此IP實體的其他調查、來自外部數據源的IP活動事件,以及 Microsoft Sentinel 異常規則所偵測到的異常行為之書籤搜捕。
Insights
實體深入解析是由Microsoft安全性研究人員所定義的查詢,可協助您更有效率且更有效率地調查。 這些深入解析會自動詢問IP實體的相關重要問題,並以表格式數據和圖表的形式提供寶貴的安全性資訊。 這些深入解析包括來自各種IP威脅情報來源的數據、網路流量檢查等等,並包含可偵測異常行為的進階機器學習演算法。
以下是一些顯示的深入解析:
- Microsoft Defender 威脅情報信譽。
- 病毒總IP位址。
- 記錄的未來IP位址。
- 異常IP位址
- AbuseIPDB。
- 依IP位址的異常計數。
- 網路流量檢查。
- 具有 TI 相符的 IP 位址遠端連線。
- IP 位址遠端連線。
- 此 IP 具有 TI 比對。
- 預覽) (關注清單深入解析。
深入解析是以下欄數據源為基礎:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- 活動訊號 (Azure 監視器代理程式)
- CommonSecurityLog (Microsoft Sentinel)
如果您想要進一步探索此面板中的任何深入解析,請選取隨附於深入解析的連結。 連結會帶您前往 [ 進階搜捕 ] 頁面,其中會顯示深入解析的基礎查詢及其原始結果。 您可以修改查詢或向下切入結果,以展開您的調查,或只滿足您的好奇心。
回應動作
回應動作提供分析、調查及防禦威脅的快捷方式。
回應動作會沿著特定IP實體頁面的頂端執行,包括:
動作 | 描述 |
---|---|
新增指標 | 開啟精靈,讓您將此IP位址新增為威脅情報知識庫 (IoC) 的入侵指標。 |
開啟雲端應用程式IP設定 | 開啟 [IP 位址範圍] 組態畫面,讓您將IP位址新增至其中。 |
在活動記錄中調查 | 開啟 [Microsoft 365 活動記錄] 畫面,讓您在其他記錄中尋找IP位址。 |
開始搜補 | 開啟 [ 進階搜捕 ] 頁面,內建搜捕查詢以尋找此IP位址的實例。 |
相關主題
- Microsoft Defender XDR 概觀
- 開啟 Microsoft Defender XDR
- Microsoft Defender 中的裝置實體頁面
- Microsoft Defender 中的用戶實體頁面
- Microsoft Defender XDR 與 Microsoft Sentinel 整合
- 將 Microsoft Sentinel 連線到 Microsoft Defender XDR
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft適用於端點的Defender技術社群。