Microsoft Defender の IP アドレス エンティティ ページ

  • [アーティクル]
  • 適用対象:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender ポータルの [IP アドレス エンティティ] ページは、デバイスと外部インターネット プロトコル (IP) アドレス間の通信の可能性を調べるのに役立ちます。

コマンド アンド コントロール (C2) サーバーなど、疑わしいまたは既知の悪意のある IP アドレスと通信した組織内のすべてのデバイスを特定すると、侵害、関連ファイル、感染したデバイスの潜在的な範囲を特定するのに役立ちます。

IP アドレス エンティティ ページでは、次のセクションから情報を確認できます。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft 統合セキュリティ運用プラットフォーム内で一般提供されるようになりました。 詳細については、 Microsoft Defender ポータルの「Microsoft Sentinel」を参照してください。

概要

左側のウィンドウの [ 概要 ] ページには、IP の詳細の概要 (使用可能な場合) が表示されます。

Section 詳細
セキュリティ情報
  • インシデントを開く
  • アクティブなアラート
    		•
    IP の詳細
  • Organization (ISP)
  • ASN
  • 国/地域、都道府県、市区町村
  • キャリア
  • 緯度と経度
  • 郵便番号
    		•

    左側には、複数のログ ソースから収集されたログ アクティビティ (最初に表示/最後に表示されたデータ ソース) を示すパネルと、Azure Monitoring Agent ハートビート テーブルから収集されたログに記録されたホストの一覧を示す別のパネルもあります。

    [概要] ページの本文には、IP アドレスを含むインシデントとアラートの数 (重大度別にグループ化) と、指定された期間における組織内の IP アドレスの普及率のグラフを示すダッシュボード カードが含まれています。

    インシデントと警告

    [ インシデントとアラート ] ページには、ストーリーの一部として IP アドレスを含むインシデントとアラートの一覧が表示されます。 これらのインシデントとアラートは、Microsoft Sentinel をオンボードした場合など、さまざまな Microsoft Defender 検出ソースのいずれかから取得されます。 この一覧は 、インシデント キューのフィルター処理されたバージョンであり、インシデントまたはアラートの簡単な説明、重大度 (高、中、低、情報)、キュー内の状態 (新規、進行中、解決済み)、その分類 (設定されていない、誤ったアラート、真のアラート)、調査状態、カテゴリ、それに対処するために割り当てられているユーザー、最後に観察されたアクティビティを示します。

    各項目に表示する列をカスタマイズできます。 アラートは、重大度、状態、またはディスプレイ内の他の列でフィルター処理することもできます。

    影響を受ける資産列は、インシデントまたはアラートで参照されるすべてのユーザー、アプリケーション、およびその他のエンティティを参照します。

    インシデントまたはアラートが選択されると、ポップアップが表示されます。 このパネルでは、インシデントまたはアラートを管理し、インシデント/アラート番号や関連デバイスなどの詳細を表示できます。 一度に複数のアラートを選択できます。

    インシデントまたはアラートの完全なページ ビューを表示するには、そのタイトルを選択します。

    組織で観察される

    [ 組織で観察済み ] セクションには、この IP と接続しているデバイスの一覧と、各デバイスの最後のイベントの詳細が表示されます (一覧は 100 台に制限されています)。

    Sentinel イベント

    組織が Microsoft Sentinel を Defender ポータルにオンボードした場合、この追加タブは IP アドレス エンティティ ページにあります。 このタブは、 Microsoft Sentinel から IP エンティティ ページをインポートします

    Sentinel タイムライン

    このタイムラインには、IP アドレス エンティティに関連付けられているアラートが表示されます。 これらのアラートには、[ インシデントとアラート ] タブに表示されるアラートと、サード パーティの Microsoft 以外のデータ ソースから Microsoft Sentinel によって作成されたものが含まれます。

    このタイムラインには、この IP エンティティを参照する他の調査からの ブックマークされたハント 、外部データ ソースからの IP アクティビティ イベント、Microsoft Sentinel の 異常ルールによって検出された異常な動作も表示されます。

    分析情報

    エンティティ分析情報は、より効率的かつ効果的に調査するのに役立つ、Microsoft セキュリティ研究者によって定義されたクエリです。 これらの分析情報は、IP エンティティに関する大きな質問を自動的に行い、表形式のデータとグラフの形式で貴重なセキュリティ情報を提供します。 分析情報には、さまざまな IP 脅威インテリジェンス ソースからのデータ、ネットワーク トラフィックの検査などが含まれます。また、異常な動作を検出するための高度な機械学習アルゴリズムが含まれます。

    次に示す分析情報の一部を示します。

    • Microsoft Defender 脅威インテリジェンスの評判。
    • ウイルスの合計 IP アドレス。
    • 将来の IP アドレスを記録しました。
    • Anomali IP アドレス
    • AbuseIPDB。
    • 異常は IP アドレス別にカウントされます。
    • ネットワーク トラフィック検査。
    • TI との IP アドレス リモート接続が一致します。
    • IP アドレスリモート接続。
    • この IP には TI 一致があります。
    • ウォッチリストの分析情報 (プレビュー)。

    分析情報は、次のデータ ソースに基づいています。

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra ID)
    • SigninLogs (Microsoft Entra ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • ハートビート (Azure Monitor エージェント)
    • CommonSecurityLog (Microsoft Sentinel)

    このパネルのいずれかの分析情報をさらに調べる場合は、分析情報に付随するリンクを選択します。 リンクをクリックすると、[ 高度なハンティング ] ページが表示され、分析情報の基になるクエリとその生の結果が表示されます。 クエリを変更したり、結果をドリルダウンして調査を拡大したり、好奇心を満たしたりできます。

    応答アクション

    応答アクションには、脅威を分析、調査、防御するためのショートカットが用意されています。

    応答アクションは、特定の IP エンティティ ページの上部に沿って実行され、次のものが含まれます。

    アクション 説明
    インジケーターの追加 ウィザードを開き、この IP アドレスを侵害インジケーター (IoC) として脅威インテリジェンス ナレッジ ベースに追加します。
    クラウド アプリの IP 設定を開く IP アドレスを追加するための IP アドレス範囲の構成画面を開きます。
    アクティビティ ログで調査する 他のログの IP アドレスを探すために、Microsoft 365 アクティビティ ログ画面を開きます。
    検出する この IP アドレスのインスタンスを検索するための組み込みのハンティング クエリを含む [高度な ハンティング] ページを開きます。

    ヒント

    さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。