Microsoft Defender for Endpoint アラートに関連付けられている IP アドレスを調査する

  • [アーティクル]

適用対象:

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

デバイスと外部インターネット プロトコル (IP) アドレス間の通信の可能性を調べます。

コマンド アンド コントロール (C2) サーバーなど、疑わしいまたは既知の悪意のある IP アドレスと通信したorganization内のすべてのデバイスを識別すると、侵害の可能性のある範囲、関連ファイル、感染したデバイスを特定するのに役立ちます。

IP アドレス ビューでは、次のセクションから情報を確認できます。

  • IP geo 情報
  • この IP に関連するアラート
  • organization監視の IP
  • organizationの普及率

IP geo 情報

左側のウィンドウで、ページに IP の詳細 (使用可能な場合) が表示されます。

  • Organization (ISP)
  • Asn
  • 状態
  • 市区町村
  • キャリア
  • Latitude
  • Longitude
  • 郵便番号

[ この IP に関連するアラート] セクションには、IP に関連付けられているアラートの一覧が表示されます。

organizationで観察される IP

organizationセクションで観察される IP は、この IP と接続しているデバイスの一覧と、各デバイスの最後のイベントの詳細を提供します (一覧は 100 デバイスに制限されています)。

有 病 率

[ 普及率 ] セクションには、この IP アドレスに接続されているデバイスの数と、IP が最初に表示され、最後に表示された時点が表示されます。 このセクションの結果は、期間でフィルター処理できます。既定の期間は 30 日です。

外部 IP を調査する:

  1. [ 検索 ] フィールドに IP アドレスを入力します。
  2. [IP 候補] ボックスを選択し、IP サイド パネルを開きます。
  3. Enter キーを押します。

IP アドレスに関する詳細が表示されます。登録の詳細 (使用可能な場合)、この IP アドレスと通信したorganization内のデバイスの普及率 (選択可能な期間中)、この IP アドレスとの通信が観察されたorganization内のデバイス。

注:

検索結果は、organization内のデバイスとの通信で観察された IP アドレスについてのみ返されます。

検索条件を定義するには、検索フィルターを使用します。 また、[タイムライン検索] ボックスを使用して、IP アドレス、通信に関連付けられたファイル、および最後に観察された日付との通信が観察されたorganization内のすべてのデバイスの表示結果をフィルター処理することもできます。

デバイス名をクリックすると、そのデバイスのビューに移動し、報告されたアラート、動作、イベントを引き続き調査できます。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender for Endpoint Tech Community で Microsoft セキュリティ コミュニティとEngageします。