Изучение IP-адреса, связанного с оповещением Microsoft Defender для конечной точки
Область применения:
- Microsoft Defender для конечной точки (план 1)
- Microsoft Defender для конечной точки (план 2)
- Microsoft Defender XDR
Хотите попробовать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.
Проверьте возможную связь между устройствами и внешними IP-адресами.
Идентификация всех устройств в организации, которые обменились данными с предполагаемым или известным вредоносным IP-адресом, например серверами команд и управления (C2), помогает определить потенциальные область нарушения безопасности, связанные файлы и зараженные устройства.
Сведения можно найти в следующих разделах в представлении IP-адреса:
- Сведения о географическом ip-адресе
- Оповещения, связанные с этим IP-адресом
- IP-адреса в наблюдениях организации
- Распространенность в организации
Сведения о географическом ip-адресе
В левой области на странице указаны сведения об IP-адресе (если они доступны).
- Организация (поставщик услуг Интернета)
- ASN
- Страна
- Состояние
- Город
- Перевозчика
- Latitude
- Longitude
- Почтовый индекс
Оповещения, связанные с этим IP-адресом
В разделе Оповещения, связанные с этим IP-адресом , приведен список оповещений, связанных с IP-адресом.
IP-адрес, наблюдаемый в организации
В разделе IP-адрес, наблюдаемый в организации , приведен список устройств, имеющих подключение к этому IP-адресу, и сведения о последних событиях для каждого устройства (список ограничен 100 устройствами).
Распространенность
В разделе Распространенность отображается количество устройств, подключенных к этому IP-адресу, а также время первого и последнего отображения IP-адреса. Результаты этого раздела можно отфильтровать по периоду времени; период по умолчанию — 30 дней.
Исследуйте внешний IP-адрес:
- Введите IP-адрес в поле Поиск.
- Выберите поле ПРЕДЛОЖЕНИЕ IP-адресов и откройте панель ip-адресов.
- Выберите ВВОД.
Отображаются сведения об IP-адресе, включая сведения о регистрации (если они доступны), распространенность устройств в организации, которые обменивались данными с этим IP-адресом (в течение выбранного периода времени), а также устройства в организации, которые были замечены в обмене данными с этим IP-адресом.
Примечание.
Поиск результаты будут возвращены только для IP-адресов, наблюдаемых при обмене данными с устройствами в организации.
Используйте фильтры поиска для определения условий поиска. Вы также можете использовать поле поиска временная шкала для фильтрации отображаемых результатов всех устройств в организации, которые взаимодействуют с IP-адресом, файлом, связанным с обменом данными, и последней наблюдаемой датой.
Щелкнув любое из имен устройств, вы перейдете в представление этого устройства, где можно продолжить изучение сообщаемых оповещений, поведения и событий.
Статьи по теме
- Просмотр и упорядочивание очереди оповещений Microsoft Defender для конечной точки
- Управление оповещениями Microsoft Defender для конечной точки
- Изучение оповещений Microsoft Defender для конечной точки
- Изучение файла, связанного с оповещением Microsoft Defender для конечной точки
- Изучение устройств в списке устройств Microsoft Defender для конечной точки
- Изучение домена, связанного с оповещением Microsoft Defender для конечной точки
- Изучение учетной записи пользователя в Microsoft Defender для конечной точки
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.