Cette page a été traduite par l'API Cloud Translation.

Rechercher une adresse IP

Compatible avec :

Google SecOps SIEM

Google Security Operations vous permet d'examiner des adresses IP spécifiques pour déterminer si certaines sont présentes dans votre entreprise et quel impact ces systèmes externes ont pu avoir sur vos ressources. La vue Adresse IP de Google SecOps est dérivée des mêmes informations et données de sécurité transmises par votre entreprise, et vous pouvez l'examiner à l'aide de la vue "Actifs". Assurez-vous d'ingérer et de normaliser les données provenant des appareils de votre réseau, tels que les solutions EDR, les pare-feu, les proxys Web, etc.

Dans la vue "Composant", vous commencez votre enquête au sein de votre entreprise et regardez vers l'extérieur. Dans la vue Adresse IP, vous commencez votre enquête depuis l'extérieur de votre entreprise et regardez à l'intérieur.

Pour accéder à la vue Adresse IP dans Google SecOps, procédez comme suit :

Sur la page de destination Google SecOps, saisissez l'adresse IP dans la barre de recherche. Cliquez sur Rechercher.
Cliquez sur l'adresse IP dans les résultats pour ouvrir la vue Adresse IP.

Contexte de l'adresse IP

Vue Adresse IP Vue "Adresse IP"

1 Prévalence

Google SecOps fournit une représentation graphique de la prévalence historique d'une adresse IP donnée. Ce graphique peut être utilisé pour déterminer si l'adresse IP a déjà été consultée au sein de l'entreprise. Il peut également indiquer si l'adresse IP est associée à une campagne spécifique ciblant l'entreprise.

En règle générale, les adresses IP les moins courantes, auxquelles moins de composants sont connectés, peuvent représenter une menace plus importante pour votre entreprise. Contrairement au graphique Prévalence de la vue Composant, celui-ci affiche un accès à forte prévalence en haut et un accès à faible prévalence en bas.

Lorsque vous pointez sur une barre du graphique Prévalence, celui-ci liste les composants ayant accédé à l'adresse IP. En raison de la forte prévalence des serveurs DNS, ils ne sont pas listés. Si tous les composants sont des serveurs DNS, aucun composant n'est listé.

2 Curseur pour le graphique de prévalence

Ajustez le curseur pour vous concentrer sur les événements liés à une plage de dates spécifique, comme indiqué dans le graphique de prévalence.

3 insights sur les adresses IP

Les insights sur les adresses IP vous fournissent plus de contexte sur l'adresse IP faisant l'objet d'une enquête. Vous pouvez les utiliser pour déterminer si une adresse IP est bénigne ou malveillante. Ils vous permettent également d'examiner plus en détail un indicateur pour déterminer s'il existe un risque plus général.

Liste de réputation ET Intelligence : vérifie la liste de réputation Emerging Threats (ET) Intelligence de ProofPoint. Listes des menaces connues associées à des adresses IP et des domaines spécifiques.
ESET Threat Intelligence : vérifie le service de renseignement sur les menaces d'ESET.

4 Contexte VT

Cliquez sur Contexte VT pour afficher les informations VirusTotal disponibles pour cette adresse IP.

Remarques

La vue des adresses IP présente les limites suivantes :

Vous ne pouvez filtrer que les événements affichés dans cette vue.
Seuls les types d'événements DNS, EDR et Webproxy sont renseignés dans cette vue. Les informations "Première vue" et "Dernière vue" renseignées dans cette vue sont également limitées à ces types d'événements.
Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les journaux bruts et les recherches UDM.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.