Изучение IP-адреса, связанного с оповещением Microsoft Defender для конечной точки

  • Статья

Область применения:

Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Проверьте возможную связь между устройствами и внешними IP-адресами.

Идентификация всех устройств в организации, которые обменились данными с предполагаемым или известным вредоносным IP-адресом, например серверами команд и управления (C2), помогает определить потенциальные область нарушения безопасности, связанные файлы и зараженные устройства.

Сведения можно найти в следующих разделах в представлении IP-адреса:

  • Сведения о географическом ip-адресе
  • Оповещения, связанные с этим IP-адресом
  • IP-адреса в наблюдениях организации
  • Распространенность в организации

Сведения о географическом ip-адресе

В левой области на странице указаны сведения об IP-адресе (если они доступны).

  • Организация (поставщик услуг Интернета)
  • ASN
  • Страна
  • Состояние
  • Город
  • Перевозчика
  • Latitude
  • Longitude
  • Почтовый индекс

В разделе Оповещения, связанные с этим IP-адресом , приведен список оповещений, связанных с IP-адресом.

IP-адрес, наблюдаемый в организации

В разделе IP-адрес, наблюдаемый в организации , приведен список устройств, имеющих подключение к этому IP-адресу, и сведения о последних событиях для каждого устройства (список ограничен 100 устройствами).

Распространенность

В разделе Распространенность отображается количество устройств, подключенных к этому IP-адресу, а также время первого и последнего отображения IP-адреса. Результаты этого раздела можно отфильтровать по периоду времени; период по умолчанию — 30 дней.

Исследуйте внешний IP-адрес:

  1. Введите IP-адрес в поле Поиск.
  2. Выберите поле ПРЕДЛОЖЕНИЕ IP-адресов и откройте панель ip-адресов.
  3. Выберите ВВОД.

Отображаются сведения об IP-адресе, включая сведения о регистрации (если они доступны), распространенность устройств в организации, которые обменивались данными с этим IP-адресом (в течение выбранного периода времени), а также устройства в организации, которые были замечены в обмене данными с этим IP-адресом.

Примечание.

Поиск результаты будут возвращены только для IP-адресов, наблюдаемых при обмене данными с устройствами в организации.

Используйте фильтры поиска для определения условий поиска. Вы также можете использовать поле поиска временная шкала для фильтрации отображаемых результатов всех устройств в организации, которые взаимодействуют с IP-адресом, файлом, связанным с обменом данными, и последней наблюдаемой датой.

Щелкнув любое из имен устройств, вы перейдете в представление этого устройства, где можно продолжить изучение сообщаемых оповещений, поведения и событий.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.