다음을 통해 공유

Microsoft Defender의 IP 주소 엔터티 페이지

  • 아티클
  • 적용 대상:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender 포털의 IP 주소 엔터티 페이지는 디바이스와 외부 IP(인터넷 프로토콜) 주소 간의 가능한 통신을 검사하는 데 도움이 됩니다.

C2(명령 및 제어) 서버와 같이 의심되거나 알려진 악성 IP 주소와 통신한 조직의 모든 디바이스를 식별하면 잠재적인 위반 범위, 관련 파일 및 감염된 디바이스를 확인하는 데 도움이 됩니다.

IP 주소 엔터티 페이지에서 다음 섹션에서 정보를 찾을 수 있습니다.

중요

Microsoft Sentinel은 Microsoft Defender 포털의 통합 보안 운영 플랫폼의 일부로 사용할 수 있습니다. 이제 Defender 포털의 Microsoft Sentinel이 프로덕션용으로 지원됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

개요

왼쪽 창에서 개요 페이지에서 IP 세부 정보(사용 가능한 경우)에 대한 요약을 제공합니다.

섹션 세부 정보
보안 정보
  • 인시던트 열기
  • 활성 경고
    		•
    IP 세부 정보
  • 조직(ISP)
  • Asn
  • 국가/지역, 주, 도시
  • 캐리어
  • 위도 및 경도
  • 우편 번호
    		•

    왼쪽에는 여러 로그 원본에서 수집된 로그 작업(처음 보거나 마지막으로 본 시간, 데이터 원본)을 보여 주는 패널과 Azure Monitoring Agent 하트비트 테이블에서 수집된 기록된 호스트 목록을 보여 주는 다른 패널도 있습니다.

    개요 페이지의 본문에는 IP 주소를 포함하는 인시던트 및 경고 수(심각도별로 그룹화됨)와 표시된 기간 동안 조직의 IP 주소 보급 차트를 보여 주는 대시보드 카드가 포함되어 있습니다.

    인시던트 및 경고

    인시던트 및 경고 페이지에는 IP 주소를 스토리의 일부로 포함하는 인시던트 및 경고 목록이 표시됩니다. 이러한 인시던트 및 경고는 온보딩된 경우 Microsoft Sentinel을 비롯한 여러 Microsoft Defender 검색 원본에서 제공됩니다. 이 목록은 인 시던트 큐의 필터링된 버전이며 인시던트 또는 경고, 심각도(높음, 중간, 낮음, 정보), 큐의 상태(신규, 진행 중, 해결됨), 분류(설정되지 않음, 거짓 경고, 실제 경고), 조사 상태, 범주, 처리하도록 할당된 사람 및 관찰된 마지막 활동에 대한 간략한 설명을 보여 줍니다.

    각 항목에 대해 표시되는 열을 사용자 지정할 수 있습니다. 또한 표시의 심각도, 상태 또는 다른 열을 기준으로 경고를 필터링할 수 있습니다.

    영향을 받은 자산 열은 인시던트 또는 경고에서 참조되는 모든 사용자, 애플리케이션 및 기타 엔터티를 나타냅니다.

    인시던트 또는 경고를 선택하면 플라이아웃이 나타납니다. 이 패널에서 인시던트 또는 경고를 관리하고 인시던트/경고 번호 및 관련 디바이스와 같은 자세한 정보를 볼 수 있습니다. 한 번에 여러 경고를 선택할 수 있습니다.

    인시던트 또는 경고의 전체 페이지 보기를 보려면 제목을 선택합니다.

    조직에서 관찰됨

    조직에서 관찰됨 섹션에서는 이 IP와 연결된 디바이스 목록과 각 디바이스에 대한 마지막 이벤트 세부 정보(목록은 100개 디바이스로 제한됨)를 제공합니다.

    Sentinel 이벤트

    조직에서 Microsoft Sentinel을 Defender 포털에 온보딩한 경우 이 추가 탭은 IP 주소 엔터티 페이지에 있습니다. 이 탭은 Microsoft Sentinel에서 IP 엔터티 페이지를 가져옵니다.

    Sentinel 타임라인

    이 타임라인은 IP 주소 엔터티와 연결된 경고를 보여 줍니다. 이러한 경고에는 인시던트 및 경고 탭에 표시되는 경고와 타사, 타사 Microsoft 데이터 원본에서 Microsoft Sentinel에서 만든 경고가 포함됩니다.

    또한 이 타임라인은 이 IP 엔터티를 참조하는 다른 조사의 책갈피가 지정된 헌 팅, 외부 데이터 원본의 IP 활동 이벤트 및 Microsoft Sentinel의 변칙 규칙에 의해 검색된 비정상적인 동작을 보여 줍니다.

    Insights

    엔터티 인사이트는 보다 효율적이고 효과적으로 조사할 수 있도록 Microsoft 보안 연구원이 정의한 쿼리입니다. 이러한 인사이트는 IP 엔터티에 대한 큰 질문을 자동으로 제공하여 테이블 형식 데이터 및 차트 형태로 중요한 보안 정보를 제공합니다. 인사이트에는 다양한 IP 위협 인텔리전스 원본, 네트워크 트래픽 검사 등의 데이터가 포함되며 비정상적인 동작을 감지하는 고급 기계 학습 알고리즘이 포함됩니다.

    다음은 표시된 몇 가지 인사이트입니다.

    • Microsoft Defender 위협 인텔리전스 평판.
    • 바이러스 총 IP 주소입니다.
    • 기록된 이후 IP 주소입니다.
    • Anomali IP 주소
    • AbuseIPDB.
    • IP 주소별 변칙 개수입니다.
    • 네트워크 트래픽 검사.
    • TI 일치를 사용하는 IP 주소 원격 연결입니다.
    • IP 주소 원격 연결.
    • 이 IP에는 TI 일치 항목이 있습니다.
    • 관심 목록 인사이트(미리 보기).

    인사이트는 다음 데이터 원본을 기반으로 합니다.

    • Syslog(Linux)
    • SecurityEvent(Windows)
    • AuditLogs(Microsoft Entra ID)
    • SigninLogs(Microsoft Entra ID)
    • OfficeActivity(Office 365)
    • BehaviorAnalytics(Microsoft Sentinel UEBA)
    • 하트비트(Azure Monitor 에이전트)
    • CommonSecurityLog(Microsoft Sentinel)

    이 패널에서 인사이트를 자세히 살펴보려면 인사이트와 함께 링크를 선택합니다. 링크는 고급 헌팅 페이지로 이동하며, 여기서 원시 결과와 함께 인사이트의 기본 쿼리를 표시합니다. 쿼리를 수정하거나 결과를 드릴다운하여 조사를 확장하거나 호기심을 충족할 수 있습니다.

    응답 작업

    대응 작업은 위협을 분석, 조사 및 방어하는 바로 가기를 제공합니다.

    응답 작업은 특정 IP 엔터티 페이지의 위쪽을 따라 실행되며 다음을 포함합니다.

    작업 설명
    표시기 추가 이 IP 주소를 위협 인텔리전스 기술 자료에 IoC(손상 지표)로 추가할 수 있는 마법사를 엽니다.
    클라우드 앱 IP 설정 열기 IP 주소를 추가할 수 있도록 IP 주소 범위 구성 화면을 엽니다.
    활동 로그에서 조사 다른 로그에서 IP 주소를 찾을 수 있도록 Microsoft 365 활동 로그 화면을 엽니다.
    탐색 이 IP 주소의 인스턴스를 찾기 위한 기본 제공 헌팅 쿼리가 있는 고급 헌 팅 페이지를 엽니다.

    더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티: 엔드포인트용 Microsoft Defender 기술 커뮤니티에서 Microsoft 보안 커뮤니티에 참여하세요.