Aracılığıyla paylaş

Microsoft Defender'da IP adresi varlık sayfası

  • Makale
  • Şunlara uygulanır:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender portalındaki IP adresi varlık sayfası, cihazlarınız ile dış İnternet protokolü (IP) adresleri arasındaki olası iletişimi incelemenize yardımcı olur.

Kuruluştaki komut ve denetim (C2) sunucuları gibi şüpheli veya bilinen bir kötü amaçlı IP adresiyle iletişim kuran tüm cihazları tanımlamak olası ihlal kapsamını, ilişkili dosyaları ve virüslü cihazları belirlemeye yardımcı olur.

IP adresi varlığı sayfasında aşağıdaki bölümlerden bilgi bulabilirsiniz:

Önemli

Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için, Microsoft Sentinel Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için bkz. Microsoft Defender portalındaki Microsoft Sentinel.

Genel bakış

Sol bölmede Genel Bakış sayfası IP ayrıntılarının özetini sağlar (varsa).

Bölüm Ayrıntılar
Güvenlik bilgileri
  • Açık olaylar
  • Etkin uyarılar
    		•
    IP ayrıntıları
  • Kuruluş (ISS)
  • ÖSB
  • Ülke/Bölge, Eyalet, Şehir
  • Taşıyıcı
  • Enlem ve boylam
  • Posta kodu
    		•

    Sol tarafta ayrıca çeşitli günlük kaynaklarından toplanan Günlük etkinliğini (ilk görülen/son görülen, veri kaynağı) gösteren bir panel ve Azure İzleme Aracısı sinyal tablolarından toplanan günlüğe kaydedilmiş konakların listesini gösteren başka bir panel vardır.

    Genel Bakış sayfasının ana gövdesinde, IP adresini içeren olay ve uyarı sayısını (önem derecesine göre gruplandırılmış) gösteren pano kartları ve belirtilen zaman aralığında kuruluştaki IP adresinin yaygınlığını gösteren bir grafik bulunur.

    Olaylar ve uyarılar

    Olaylar ve uyarılar sayfası, hikayelerinin bir parçası olarak IP adresini içeren olayların ve uyarıların listesini gösterir. Bu olaylar ve uyarılar, eklenmişse Microsoft Sentinel dahil olmak üzere çeşitli Microsoft Defender algılama kaynaklarından gelir. Bu liste , olay kuyruğunun filtrelenmiş bir sürümüdür ve olay veya uyarının kısa bir açıklamasını, önem derecesini (yüksek, orta, düşük, bilgilendirici), kuyruktaki durumunu (yeni, devam ediyor, çözüldü), sınıflandırmasını (ayarlanmamış, yanlış uyarı, doğru uyarı), araştırma durumunu, kategoriyi, bu durumu ele almak için atananları ve gözlemlenen son etkinliği gösterir.

    Her öğe için hangi sütunların görüntüleneceğini özelleştirebilirsiniz. Uyarıları önem derecesine, durumuna veya görüntüdeki diğer herhangi bir sütuna göre de filtreleyebilirsiniz.

    Etkilenen varlıklar sütunu, olay veya uyarıda başvuruda bulunan tüm kullanıcı, uygulama ve diğer varlıkları ifade eder.

    Bir olay veya uyarı seçildiğinde bir açılır öğe görüntülenir. Bu panelden olayı veya uyarıyı yönetebilir ve olay/uyarı numarası ve ilgili cihazlar gibi diğer ayrıntıları görüntüleyebilirsiniz. Aynı anda birden çok uyarı seçilebilir.

    Bir olayın veya uyarının tam sayfa görünümünü görmek için başlığını seçin.

    Kuruluşta gözlemlenen

    Kuruluşta gözlemlenen bölümü, bu IP ile bağlantısı olan cihazların listesini ve her cihaz için son olay ayrıntılarını sağlar (liste 100 cihazla sınırlıdır).

    olayları Sentinel

    Kuruluşunuz Defender portalına Microsoft Sentinel eklendiyse, bu ek sekme IP adresi varlık sayfasındadır. Bu sekme IP varlık sayfasını Microsoft Sentinel'dan içeri aktarır.

    Sentinel zaman çizelgesi

    Bu zaman çizelgesi, IP adresi varlığıyla ilişkili uyarıları gösterir. Bu uyarılar, Olaylar ve uyarılar sekmesinde görülenler ile üçüncü taraf, Microsoft dışı veri kaynaklarından Microsoft Sentinel tarafından oluşturulanları içerir.

    Bu zaman çizelgesi ayrıca bu IP varlığına başvuran diğer araştırmalardan yapılan yer işaretli avları, dış veri kaynaklarından GELEN IP etkinliği olaylarını ve Microsoft Sentinel anomali kuralları tarafından algılanan olağan dışı davranışları gösterir.

    Bilgi Edinme

    Varlık içgörüleri, Daha verimli ve etkili bir şekilde araştırmanıza yardımcı olmak için Microsoft güvenlik araştırmacıları tarafından tanımlanan sorgulardır. Bu içgörüler, tablosal veriler ve grafikler biçiminde değerli güvenlik bilgileri sağlayarak IP varlığınızla ilgili büyük soruları otomatik olarak sorar. İçgörüler çeşitli IP tehdit bilgileri kaynaklarından gelen verileri, ağ trafiği incelemesini ve daha fazlasını içerir ve anormal davranışları algılamak için gelişmiş makine öğrenmesi algoritmaları içerir.

    Aşağıda gösterilen içgörülerden bazıları yer alır:

    • Microsoft Defender Tehdit Analizi ün.
    • Virüs Toplam IP Adresi.
    • Gelecekteki IP Adresi kaydedildi.
    • Anomali IP Adresi
    • AbuseIPDB.
    • Anomaliler IP adresine göre sayılır.
    • Ağ trafiği denetimi.
    • TI eşleşmesi ile IP adresi uzak bağlantıları.
    • IP adresi uzak bağlantıları.
    • Bu IP'nin TI eşleşmesi var.
    • İzleme listesi içgörüleri (Önizleme).

    İçgörüler aşağıdaki veri kaynaklarını temel alır:

    • Syslog (Linux)
    • SecurityEvent (Windows)
    • AuditLogs (Microsoft Entra ID)
    • SigninLogs (Microsoft Entra ID)
    • OfficeActivity (Office 365)
    • BehaviorAnalytics (UEBA Microsoft Sentinel)
    • Sinyal (Azure İzleyici Aracısı)
    • CommonSecurityLog (Microsoft Sentinel)

    Bu paneldeki içgörülerden herhangi birini daha fazla keşfetmek istiyorsanız içgörüye eşlik eden bağlantıyı seçin. Bağlantı sizi Gelişmiş tehdit avcılığı sayfasına götürür ve burada içgörüye bağlı sorguyu ve ham sonuçlarını görüntüler. Araştırmanızı genişletmek veya merakınızı gidermek için sorguyu değiştirebilir veya sonuçlarda detaya gidebilirsiniz.

    Yanıt eylemleri

    Yanıt eylemleri tehditleri analiz etmek, araştırmak ve tehditlere karşı savunmak için kısayollar sunar.

    Yanıt eylemleri belirli bir IP varlığı sayfasının üst kısmında çalışır ve şunları içerir:

    Eylem Açıklama
    Gösterge ekle Bu IP adresini Tehdit Bilgileri bilgi bankanıza Güvenliğin Aşıldığının Göstergesi (IoC) olarak eklemeniz için bir sihirbaz açar.
    Bulut uygulaması IP ayarlarını açma IP adresini eklemeniz için IP adresi aralıkları yapılandırma ekranını açar.
    Etkinlik günlüğünde araştırma Diğer günlüklerde IP adresini aramanız için Microsoft 365 Etkinlik günlüğü ekranını açar.
    Git avla Bu IP adresinin örneklerini bulmak için yerleşik bir tehdit avcılığı sorgusuyla Gelişmiş avcılık sayfasını açar.

    İpucu

    Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla Engage: Uç Nokta için Microsoft Defender Teknoloji Topluluğu.