Поделиться через

Страница сущности IP-адреса в Microsoft Defender

  • Статья
  • Применяется к:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Страница сущности IP-адреса на портале Microsoft Defender помогает изучить возможные связи между устройствами и внешними IP-адресами.

Идентификация всех устройств в организации, которые обменились данными с предполагаемым или известным вредоносным IP-адресом, например серверами команд и управления (C2), помогает определить потенциальные область нарушения безопасности, связанные файлы и зараженные устройства.

Сведения можно найти в следующих разделах на странице сущности IP-адреса:

Важно!

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см. в статье Microsoft Sentinel на портале Microsoft Defender.

Обзор

В левой области на странице Обзор содержится сводка сведений об IP-адресах (если они доступны).

Раздел Сведения
Сведения для безопасности
  • Открытые инциденты
  • Активные оповещения
    		•
    Сведения об IP-адресе
  • Организация (поставщик услуг Интернета)
  • ASN
  • Страна/регион, штат, город
  • Перевозчика
  • Широта и долгота
  • Почтовый индекс
    		•

    В левой части также есть панель, показывающая действия журнала (время первого просмотра или последнего просмотра, источник данных), собранный из нескольких источников журналов, и другая панель со списком зарегистрированных узлов, собранных из таблиц пульса агента мониторинга Azure.

    Текст main страницы "Обзор" содержит карточки панели мониторинга с количеством инцидентов и оповещений (сгруппированных по серьезности), содержащим IP-адрес, а также диаграмму распространенности IP-адреса в организации за указанный период времени.

    Инциденты и оповещения

    На странице Инциденты и оповещения отображается список инцидентов и оповещений, включающих IP-адрес как часть их истории. Эти инциденты и оповещения поступают из любого из нескольких источников обнаружения Microsoft Defender, включая, если они подключены, Microsoft Sentinel. Этот список представляет собой отфильтрованную версию очереди инцидентов и содержит краткое описание инцидента или оповещения, его серьезности (высокий, средний, низкий, информационный), состояние в очереди (новый, выполняется, разрешено), ее классификацию (не задано, ложное оповещение, истинное оповещение), состояние исследования, категорию, кому назначено решение и последнее наблюдаемое действие.

    Вы можете настроить, какие столбцы будут отображаться для каждого элемента. Вы также можете отфильтровать оповещения по серьезности, состоянию или любому другому столбцу на дисплее.

    Столбец затронутых ресурсов относится ко всем пользователям, приложениям и другим сущностям, на которые ссылается инцидент или оповещение.

    При выборе инцидента или оповещения появляется всплывающее окно. На этой панели можно управлять инцидентом или оповещением и просматривать дополнительные сведения, например номер инцидента или оповещения и связанные устройства. Одновременно можно выбрать несколько оповещений.

    Чтобы просмотреть полную страницу инцидента или оповещения, выберите его название.

    Наблюдается в организации

    В разделе Наблюдаемое в организации содержится список устройств, имеющих подключение к этому IP-адресу, и сведения о последних событиях для каждого устройства (список ограничен 100 устройствами).

    События Sentinel

    Если ваша организация подключена к порталу Defender Microsoft Sentinel, эта дополнительная вкладка находится на странице сущности IP-адреса. Эта вкладка импортирует страницу сущности IP из Microsoft Sentinel.

    Временная шкала Sentinel

    В этом временная шкала отображаются оповещения, связанные с сущностью IP-адреса. К этим оповещениям относятся оповещения, которые можно увидеть на вкладке Инциденты и оповещения , а также оповещения, созданные Microsoft Sentinel из сторонних источников данных.

    В этом временная шкала также показаны поиски закладок из других исследований, которые ссылаются на эту сущность IP, события активности IP из внешних источников данных и необычное поведение, обнаруженное правилами аномалий Microsoft Sentinel.

    Insights

    Аналитика сущностей — это запросы, определенные исследователями безопасности Майкрософт, которые помогают вам более эффективно и эффективно исследовать. Эти аналитические сведения автоматически задают большие вопросы о сущности IP-адреса, предоставляя ценную информацию о безопасности в виде табличных данных и диаграмм. Аналитические сведения включают в себя данные из различных источников аналитики IP-угроз, проверки сетевого трафика и многого другого, а также включают расширенные алгоритмы машинного обучения для обнаружения аномального поведения.

    Ниже приведены некоторые аналитические сведения.

    • Аналитика угроз Microsoft Defender репутацию.
    • Общий IP-адрес вируса.
    • Записанный будущий IP-адрес.
    • IP-адрес аномалий
    • AbuseIPDB.
    • Количество аномалий по IP-адресу.
    • Проверка сетевого трафика.
    • IP-адрес удаленных подключений с соответствием TI.
    • IP-адреса удаленных подключений.
    • Этот IP-адрес имеет соответствие TI.
    • Аналитика списка просмотров (предварительная версия).

    Аналитические сведения основаны на следующих источниках данных:

    • Системный журнал (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra ID)
    • SigninLogs (Microsoft Entra ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (Microsoft Sentinel UEBA)
    • Heartbeat (агент Azure Monitor)
    • CommonSecurityLog (Microsoft Sentinel)

    Если вы хотите дополнительно изучить какие-либо аналитические сведения на этой панели, щелкните ссылку, сопровождающую аналитические сведения. По ссылке вы перейдете на страницу Расширенный поиск , где отображается запрос, лежащий в основе аналитических сведений, а также его необработанные результаты. Вы можете изменить запрос или детализировать результаты, чтобы расширить исследование или просто удовлетворить любопытство.

    Действия реагирования

    Действия по реагированию предлагают сочетания клавиш для анализа, исследования и защиты от угроз.

    Действия ответа выполняются в верхней части страницы определенной сущности IP-адресов и включают:

    Действие Описание
    Добавление индикатора Открывает мастер для добавления этого IP-адреса в качестве индикатора компрометации (IoC) в базу знаний аналитики угроз.
    Параметры IP-адреса открытого облачного приложения Открывает экран конфигурации диапазонов IP-адресов, чтобы добавить в него IP-адрес.
    Исследование в журнале действий Открывает экран журнала действий Microsoft 365, чтобы найти IP-адрес в других журналах.
    Запуск слежения Открывает страницу Расширенная охота со встроенным запросом для поиска экземпляров этого IP-адреса.

    Совет

    Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.