Microsoft Defender'da IP adresi varlık sayfası
Microsoft Defender portalındaki IP adresi varlık sayfası, cihazlarınız ile dış İnternet protokolü (IP) adresleri arasındaki olası iletişimi incelemenize yardımcı olur.
Kuruluştaki komut ve denetim (C2) sunucuları gibi şüpheli veya bilinen bir kötü amaçlı IP adresiyle iletişim kuran tüm cihazları tanımlamak olası ihlal kapsamını, ilişkili dosyaları ve virüslü cihazları belirlemeye yardımcı olur.
IP adresi varlığı sayfasında aşağıdaki bölümlerden bilgi bulabilirsiniz:
Önemli
Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için, Microsoft Sentinel Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için bkz. Microsoft Defender portalındaki Microsoft Sentinel.
Genel bakış
Sol bölmede Genel Bakış sayfası IP ayrıntılarının özetini sağlar (varsa).
Bölüm | Ayrıntılar |
---|---|
Güvenlik bilgileri | |
IP ayrıntıları |
Sol tarafta ayrıca çeşitli günlük kaynaklarından toplanan Günlük etkinliğini (ilk görülen/son görülen, veri kaynağı) gösteren bir panel ve Azure İzleme Aracısı sinyal tablolarından toplanan günlüğe kaydedilmiş konakların listesini gösteren başka bir panel vardır.
Genel Bakış sayfasının ana gövdesinde, IP adresini içeren olay ve uyarı sayısını (önem derecesine göre gruplandırılmış) gösteren pano kartları ve belirtilen zaman aralığında kuruluştaki IP adresinin yaygınlığını gösteren bir grafik bulunur.
Olaylar ve uyarılar
Olaylar ve uyarılar sayfası, hikayelerinin bir parçası olarak IP adresini içeren olayların ve uyarıların listesini gösterir. Bu olaylar ve uyarılar, eklenmişse Microsoft Sentinel dahil olmak üzere çeşitli Microsoft Defender algılama kaynaklarından gelir. Bu liste , olay kuyruğunun filtrelenmiş bir sürümüdür ve olay veya uyarının kısa bir açıklamasını, önem derecesini (yüksek, orta, düşük, bilgilendirici), kuyruktaki durumunu (yeni, devam ediyor, çözüldü), sınıflandırmasını (ayarlanmamış, yanlış uyarı, doğru uyarı), araştırma durumunu, kategoriyi, bu durumu ele almak için atananları ve gözlemlenen son etkinliği gösterir.
Her öğe için hangi sütunların görüntüleneceğini özelleştirebilirsiniz. Uyarıları önem derecesine, durumuna veya görüntüdeki diğer herhangi bir sütuna göre de filtreleyebilirsiniz.
Etkilenen varlıklar sütunu, olay veya uyarıda başvuruda bulunan tüm kullanıcı, uygulama ve diğer varlıkları ifade eder.
Bir olay veya uyarı seçildiğinde bir açılır öğe görüntülenir. Bu panelden olayı veya uyarıyı yönetebilir ve olay/uyarı numarası ve ilgili cihazlar gibi diğer ayrıntıları görüntüleyebilirsiniz. Aynı anda birden çok uyarı seçilebilir.
Bir olayın veya uyarının tam sayfa görünümünü görmek için başlığını seçin.
Kuruluşta gözlemlenen
Kuruluşta gözlemlenen bölümü, bu IP ile bağlantısı olan cihazların listesini ve her cihaz için son olay ayrıntılarını sağlar (liste 100 cihazla sınırlıdır).
olayları Sentinel
Kuruluşunuz Defender portalına Microsoft Sentinel eklendiyse, bu ek sekme IP adresi varlık sayfasındadır. Bu sekme IP varlık sayfasını Microsoft Sentinel'dan içeri aktarır.
Sentinel zaman çizelgesi
Bu zaman çizelgesi, IP adresi varlığıyla ilişkili uyarıları gösterir. Bu uyarılar, Olaylar ve uyarılar sekmesinde görülenler ile üçüncü taraf, Microsoft dışı veri kaynaklarından Microsoft Sentinel tarafından oluşturulanları içerir.
Bu zaman çizelgesi ayrıca bu IP varlığına başvuran diğer araştırmalardan yapılan yer işaretli avları, dış veri kaynaklarından GELEN IP etkinliği olaylarını ve Microsoft Sentinel anomali kuralları tarafından algılanan olağan dışı davranışları gösterir.
Bilgi Edinme
Varlık içgörüleri, Daha verimli ve etkili bir şekilde araştırmanıza yardımcı olmak için Microsoft güvenlik araştırmacıları tarafından tanımlanan sorgulardır. Bu içgörüler, tablosal veriler ve grafikler biçiminde değerli güvenlik bilgileri sağlayarak IP varlığınızla ilgili büyük soruları otomatik olarak sorar. İçgörüler çeşitli IP tehdit bilgileri kaynaklarından gelen verileri, ağ trafiği incelemesini ve daha fazlasını içerir ve anormal davranışları algılamak için gelişmiş makine öğrenmesi algoritmaları içerir.
Aşağıda gösterilen içgörülerden bazıları yer alır:
- Microsoft Defender Tehdit Analizi ün.
- Virüs Toplam IP Adresi.
- Gelecekteki IP Adresi kaydedildi.
- Anomali IP Adresi
- AbuseIPDB.
- Anomaliler IP adresine göre sayılır.
- Ağ trafiği denetimi.
- TI eşleşmesi ile IP adresi uzak bağlantıları.
- IP adresi uzak bağlantıları.
- Bu IP'nin TI eşleşmesi var.
- İzleme listesi içgörüleri (Önizleme).
İçgörüler aşağıdaki veri kaynaklarını temel alır:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (UEBA Microsoft Sentinel)
- Sinyal (Azure İzleyici Aracısı)
- CommonSecurityLog (Microsoft Sentinel)
Bu paneldeki içgörülerden herhangi birini daha fazla keşfetmek istiyorsanız içgörüye eşlik eden bağlantıyı seçin. Bağlantı sizi Gelişmiş tehdit avcılığı sayfasına götürür ve burada içgörüye bağlı sorguyu ve ham sonuçlarını görüntüler. Araştırmanızı genişletmek veya merakınızı gidermek için sorguyu değiştirebilir veya sonuçlarda detaya gidebilirsiniz.
Yanıt eylemleri
Yanıt eylemleri tehditleri analiz etmek, araştırmak ve tehditlere karşı savunmak için kısayollar sunar.
Yanıt eylemleri belirli bir IP varlığı sayfasının üst kısmında çalışır ve şunları içerir:
Eylem | Açıklama |
---|---|
Gösterge ekle | Bu IP adresini Tehdit Bilgileri bilgi bankanıza Güvenliğin Aşıldığının Göstergesi (IoC) olarak eklemeniz için bir sihirbaz açar. |
Bulut uygulaması IP ayarlarını açma | IP adresini eklemeniz için IP adresi aralıkları yapılandırma ekranını açar. |
Etkinlik günlüğünde araştırma | Diğer günlüklerde IP adresini aramanız için Microsoft 365 Etkinlik günlüğü ekranını açar. |
Git avla | Bu IP adresinin örneklerini bulmak için yerleşik bir tehdit avcılığı sorgusuyla Gelişmiş avcılık sayfasını açar. |
İlgili konular
- Microsoft Defender XDR genel bakış
- Microsoft Defender XDR açma
- Microsoft Defender'de cihaz varlığı sayfası
- Microsoft Defender'deki kullanıcı varlığı sayfası
- Microsoft Sentinel ile Microsoft Defender XDR tümleştirme
- Microsoft Sentinel'i Microsoft Defender XDR'ye bağlama
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.