Microsoft Defender ATP 通知に関連付けられている IP アドレスを調査するInvestigate an IP address associated with a Microsoft Defender ATP alert

適用対象:Applies to:

Microsoft Defender ATP を経験していますか?Want to experience Microsoft Defender ATP? 無料試用版にサインアップしてください。Sign up for a free trial.

コンピューターと外部インターネット プロトコル (IP) アドレスの間で発生した可能性のある通信を調査できます。Examine possible communication between your machines and external internet protocol (IP) addresses.

疑わしい IP アドレスや既知の悪意のある IP アドレス (コマンド アンド コントロール (C2) サーバーなど) と通信した組織内のコンピューターをすべて識別すれば、潜在的な侵害の範囲、関連付けられたファイル、感染したコンピューターを特定するために役立ちます。Identifying all machines in the organization that communicated with a suspected or known malicious IP address, such as Command and Control (C2) servers, helps determine the potential scope of breach, associated files, and infected machines.

IP アドレス ビューでは、次のセクションの情報を検索できます。You can find information from the following sections in the IP address view:

  • 世界中の IPIP worldwide
  • DNS 名を逆にするReverse DNS names
  • Alerts related to this IP (この IP に関連するアラート)Alerts related to this IP
  • IP in organization (組織内の IP)IP in organization
  • 流行Prevalence

世界中の IP と逆引き DNS 名IP Worldwide and Reverse DNS names

[IP address details] (IP アドレスの詳細) セクションには、ASN や逆引き DNS 名など、IP アドレスの属性が表示されます。The IP address details section shows attributes of the IP address such as its ASN and its Reverse DNS names.

[Alerts related to this IP] (この IP に関連するアラート) セクションには、IP に関連付けられたアラートの一覧が示されます。The Alerts related to this IP section provides a list of alerts that are associated with the IP.

IP in organization (組織内の IP)IP in organization

[IP in organization] (組織内の IP) セクションには、組織内の IP アドレスの分布に関する詳細が示されます。The IP in organization section provides details on the prevalence of the IP address in the organization.

流行Prevalence

[流行] セクションには、この ip アドレスに接続しているマシンの数と、ip が最初に表示された時間と最後の状態が表示されます。The Prevalence section displays how many machines have connected to this IP address, and when the IP was first and last seen. このセクションの結果は、期間で絞り込むことができます。既定の期間は30日です。You can filter the results of this section by time period; the default period is 30 days.

Most recent observed machines with IP (IP が最後に確認されたコンピューター)Most recent observed machines with IP

IP アドレスを持つ最新の監視マシンには、ip アドレスで監視されたイベントと関連する通知についての時系列のビューがあります。The Most recent observed machines with IP section provides a chronological view on the events and associated alerts that were observed on the IP address.

外部 IP を調査する:Investigate an external IP:

  1. 検索バーのドロップダウン メニューから [IP] を選びます。Select IP from the Search bar drop-down menu.
  2. [検索] フィールドに IP アドレスを入力します。Enter the IP address in the Search field.
  3. 検索アイコンをクリックするか、Enter キーを押します。Click the search icon or press Enter.

IP アドレスの詳細が表示されます。これには、登録の詳細 (利用可能な場合)、IP の逆引き (ドメインなど)、組織内でこの IP アドレスと通信したコンピューターの分布 (期間を選択可能)、この IP アドレスとの通信が観察された組織内のコンピューターなどが含まれます。Details about the IP address are displayed, including: registration details (if available), reverse IPs (for example, domains), prevalence of machines in the organization that communicated with this IP Address (during selectable time period), and the machines in the organization that were observed communicating with this IP address.

注意

検索結果が返されるのは、組織内のコンピューターとの通信が観察された IP アドレスについてだけです。Search results will only be returned for IP addresses observed in communication with machines in the organization.

検索フィルターを使うと、検索条件を定義できます。Use the search filters to define the search criteria. タイムラインの検索ボックスを使って、表示結果にフィルターをかけることもできます。表示結果には、IP アドレスとの通信が観察された組織内のすべてのコンピューター、通信に関連付けられたファイル、最後に観察された日時が含まれます。You can also use the timeline search box to filter the displayed results of all machines in the organization observed communicating with the IP address, the file associated with the communication and the last date observed.

いずれかのコンピューター名をクリックするとコンピューター ビューが表示され、報告された警告、動作、イベントの調査を続けることができます。Clicking any of the machine names will take you to that machine's view, where you can continue investigate reported alerts, behaviors, and events.

関連トピックRelated topics