エンドポイント通知の Microsoft Defender に関連付けられている IP アドレスを調査するInvestigate an IP address associated with a Microsoft Defender for Endpoint alert

重要

最近の高度な攻撃である Solorigateから Microsoft がどのように顧客を保護しているのかについて説明します。Learn how Microsoft is helping to protect customers from Solorigate, a recent sophisticated attack.

適用対象:Applies to:

エンドポイントの Defender を使用する場合Want to experience Defender for Endpoint? 無料試用版にサインアップしてください。Sign up for a free trial.

使用しているデバイスと外部インターネットプロトコル (IP) アドレス間の通信を確認します。Examine possible communication between your devices and external internet protocol (IP) addresses.

疑いのある、または既知の悪意のある IP アドレス (コマンド、コントロール、C2 など) で通信するすべてのデバイスを特定することで、違反、関連ファイル、および感染しているデバイスの潜在的な範囲を特定することができます。Identifying all devices in the organization that communicated with a suspected or known malicious IP address, such as Command and Control (C2) servers, helps determine the potential scope of breach, associated files, and infected devices.

IP アドレス ビューでは、次のセクションの情報を検索できます。You can find information from the following sections in the IP address view:

  • 世界中の IPIP worldwide
  • DNS 名を逆にするReverse DNS names
  • Alerts related to this IP (この IP に関連するアラート)Alerts related to this IP
  • IP in organization (組織内の IP)IP in organization
  • 流行Prevalence

世界中の IP と逆引き DNS 名IP Worldwide and Reverse DNS names

[IP address details] (IP アドレスの詳細) セクションには、ASN や逆引き DNS 名など、IP アドレスの属性が表示されます。The IP address details section shows attributes of the IP address such as its ASN and its Reverse DNS names.

[Alerts related to this IP] (この IP に関連するアラート) セクションには、IP に関連付けられたアラートの一覧が示されます。The Alerts related to this IP section provides a list of alerts that are associated with the IP.

IP in organization (組織内の IP)IP in organization

[IP in organization] (組織内の IP) セクションには、組織内の IP アドレスの分布に関する詳細が示されます。The IP in organization section provides details on the prevalence of the IP address in the organization.

流行Prevalence

[ 流行 ] セクションには、この ip アドレスに接続しているデバイスの数が表示されます。また、ip が最初と最後に表示された日時が示されます。The Prevalence section displays how many devices have connected to this IP address, and when the IP was first and last seen. このセクションの結果は、期間で絞り込むことができます。既定の期間は30日です。You can filter the results of this section by time period; the default period is 30 days.

IP による最新の監視されたデバイスMost recent observed devices with IP

[IP を使用した 最新の監視デバイス ] セクションでは、ip アドレスに対して監視されたイベントと関連する通知についての時系列のビューを提供します。The Most recent observed devices with IP section provides a chronological view on the events and associated alerts that were observed on the IP address.

外部 IP を調査する:Investigate an external IP:

  1. 検索バーのドロップダウン メニューから [IP] を選びます。Select IP from the Search bar drop-down menu.
  2. [検索] フィールドに IP アドレスを入力します。Enter the IP address in the Search field.
  3. 検索アイコンをクリックするか、Enter キーを押します。Click the search icon or press Enter.

IP アドレスについての詳細が表示されます。たとえば、登録の詳細 (使用可能な場合)、逆 Ip (たとえば、ドメイン)、この IP アドレスで通信する組織内のデバイスの流行 (選択可能な期間中)、およびこの IP アドレスとの通信に使用された組織内のデバイスの数です。Details about the IP address are displayed, including: registration details (if available), reverse IPs (for example, domains), prevalence of devices in the organization that communicated with this IP Address (during selectable time period), and the devices in the organization that were observed communicating with this IP address.

注意

検索結果は、組織内のデバイスとの通信で監視された IP アドレスに対してのみ返されます。Search results will only be returned for IP addresses observed in communication with devices in the organization.

検索フィルターを使うと、検索条件を定義できます。Use the search filters to define the search criteria. また、タイムラインの検索ボックスを使用して、組織内のすべてのデバイスで、IP アドレス、通信に関連付けられているファイル、最後に報告された日付との通信をフィルター処理することもできます。You can also use the timeline search box to filter the displayed results of all devices in the organization observed communicating with the IP address, the file associated with the communication and the last date observed.

いずれかのデバイス名をクリックすると、そのデバイスの表示に移動します。ここでは、報告されたアラート、動作、イベントを調査し続けることができます。Clicking any of the device names will take you to that device's view, where you can continue investigate reported alerts, behaviors, and events.

関連トピックRelated topics