Entitetssida för IP-adress i Microsoft Defender

På sidan IP-adressentitet i Microsoft Defender-portalen kan du undersöka eventuell kommunikation mellan dina enheter och externa IP-adresser (Internet Protocol).

Genom att identifiera alla enheter i organisationen som kommunicerade med en misstänkt eller känd skadlig IP-adress, till exempel C2-servrar (Command and Control), kan du fastställa omfattningen av intrång, associerade filer och infekterade enheter.

Du hittar information från följande avsnitt på entitetssidan för IP-adress:

Viktigt

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Översikt

I den vänstra rutan innehåller översiktssidan en sammanfattning av IP-information (om det är tillgängligt).

Sektion Information
Säkerhetsinformation
  • Öppna incidenter
  • Aktiva aviseringar
  • IP-information
  • Organisation (ISP)
  • ASN
  • Land/region, delstat, stad
  • Transportör
  • Latitud och longitud
  • Postnummer
  • Den vänstra sidan har också en panel som visar loggaktivitet (tid först sett/senast sett, datakälla) som samlats in från flera loggkällor och en annan panel som visar en lista över loggade värdar som samlats in från pulsslagstabeller i Azure Monitoring Agent.

    Huvudtexten på översiktssidan innehåller instrumentpanelskort som visar antalet incidenter och aviseringar (grupperade efter allvarlighetsgrad) som innehåller IP-adressen och ett diagram över förekomsten av IP-adressen i organisationen under den angivna tidsperioden.

    Incidenter och aviseringar

    Sidan Incidenter och aviseringar visar en lista över incidenter och aviseringar som innehåller IP-adressen som en del av deras berättelse. Dessa incidenter och aviseringar kommer från något av flera Microsoft Defender-identifieringskällor, inklusive, om de registreras, Microsoft Sentinel. Den här listan är en filtrerad version av incidentkön och visar en kort beskrivning av incidenten eller aviseringen, dess allvarlighetsgrad (hög, medel, låg, information), dess status i kön (ny, pågår, löst), dess klassificering (inte inställd, falsk avisering, sann avisering), undersökningstillstånd, kategori, vem som har tilldelats att åtgärda den och senaste aktivitet observerad.

    Du kan anpassa vilka kolumner som visas för varje objekt. Du kan också filtrera aviseringarna efter allvarlighetsgrad, status eller någon annan kolumn i visningen.

    Kolumnen påverkade tillgångar refererar till alla användare, program och andra entiteter som refereras i incidenten eller aviseringen.

    När en incident eller avisering har valts visas en utfällning. I den här panelen kan du hantera incidenten eller aviseringen och visa mer information, till exempel incident-/aviseringsnummer och relaterade enheter. Flera aviseringar kan väljas samtidigt.

    Om du vill se en helsidesvy över en incident eller avisering väljer du dess rubrik.

    Observeras i organisationen

    Avsnittet Observerad i organisation innehåller en lista över enheter som har en anslutning till den här IP-adressen och den senaste händelseinformationen för varje enhet (listan är begränsad till 100 enheter).

    Sentinel-händelser

    Om din organisation har registrerat Microsoft Sentinel på Defender-portalen finns den här ytterligare fliken på entitetssidan för IP-adress. På den här fliken importeras IP-entitetssidan från Microsoft Sentinel.

    Sentinel-tidslinje

    Den här tidslinjen visar aviseringar som är associerade med IP-adressentiteten. Dessa aviseringar omfattar de som visas på fliken Incidenter och aviseringar och de som skapats av Microsoft Sentinel från datakällor från tredje part som inte kommer från Microsoft.

    Den här tidslinjen visar också bokmärkta jakter från andra undersökningar som refererar till den här IP-entiteten, IP-aktivitetshändelser från externa datakällor och ovanliga beteenden som identifieras av Microsoft Sentinels avvikelseregler.

    Insikter

    Entitetsinsikter är frågor som definieras av Microsofts säkerhetsforskare för att hjälpa dig att undersöka mer effektivt och effektivt. Dessa insikter ställer automatiskt de stora frågorna om din IP-entitet och ger värdefull säkerhetsinformation i form av tabelldata och diagram. Insikterna omfattar data från olika IP-hotinformationskällor, nätverkstrafikgranskning med mera och innehåller avancerade maskininlärningsalgoritmer för att identifiera avvikande beteende.

    Följande är några av de insikter som visas:

    • Microsoft Defender Threat Intelligence-rykte.
    • Total IP-adress för virus.
    • Registrerad framtida IP-adress.
    • Ip-adress för avvikelser
    • AbuseIPDB.
    • Avvikelser räknas efter IP-adress.
    • Kontroll av nätverkstrafik.
    • Fjärranslutningar för IP-adresser med TI-matchning.
    • Fjärranslutningar för IP-adresser.
    • Den här IP-adressen har en TI-matchning.
    • Visningslista insikter (förhandsversion).

    Insikterna baseras på följande datakällor:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra-ID)
    • SigninLogs (Microsoft Entra-ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • Pulsslag (Azure Monitor-agent)
    • CommonSecurityLog (Microsoft Sentinel)

    Om du vill utforska någon av insikterna i den här panelen ytterligare väljer du länken som medföljer insikten. Länken tar dig till sidan Avancerad jakt , där den visar frågan som ligger till grund för insikten, tillsammans med dess råresultat. Du kan ändra frågan eller öka detaljnivån i resultaten för att utöka undersökningen eller bara tillfredsställa din nyfikenhet.

    Svarsåtgärder

    Svarsåtgärder erbjuder genvägar för att analysera, undersöka och skydda mot hot.

    Svarsåtgärder körs överst på en specifik IP-entitetssida och omfattar:

    Åtgärd Beskrivning
    Lägg till indikator Öppnar en guide där du kan lägga till den här IP-adressen som en indikator för kompromettering (IoC) i din kunskapsbas för hotinformation.
    Öppna IP-inställningar för molnappen Öppnar konfigurationsskärmen för IP-adressintervall där du kan lägga till IP-adressen till den.
    Undersök i aktivitetsloggen Öppnar microsoft 365-aktivitetsloggskärmen så att du kan söka efter IP-adressen i andra loggar.
    Gå på jakt Öppnar sidan Avancerad jakt med en inbyggd jaktfråga för att hitta instanser av den här IP-adressen.

    Tips

    Vill du veta mer? Interagera med Microsoft Security-communityn i vår Tech Community: Microsoft Defender för Endpoint Tech Community.