Questa pagina è stata tradotta dall'API Cloud Translation.

Indagine su un indirizzo IP

Supportato in:

Google secops SIEM

Google Security Operations ti consente di esaminare indirizzi IP specifici per determinare se sono presenti nella tua azienda e quale impatto potrebbero aver avuto questi sistemi esterni sui tuoi asset. La visualizzazione Indirizzo IP di Google SecOps deriva dalle stesse informazioni e dati di sicurezza inoltrati dalla tua azienda e può essere esaminata utilizzando la visualizzazione Asset. Assicurati di importare e normalizzare i dati dai dispositivi sulla tua rete, come EDR, firewall, proxy web e così via.

Dalla visualizzazione Asset, inizi l'indagine all'interno della tua azienda e guardi verso l'esterno. Dalla visualizzazione Indirizzo IP, inizi l'indagine dall'esterno della tua azienda e guardi all'interno.

Per accedere alla visualizzazione Indirizzo IP in Google SecOps, completa i seguenti passaggi:

Nella home page di Google SecOps, inserisci l'indirizzo IP nella barra di ricerca. Fai clic su Cerca.
Fai clic sull'indirizzo IP nei risultati per aprire la visualizzazione Indirizzo IP.

Contesto dell'indirizzo IP

Visualizzazione Indirizzo IP

1 Prevalenza

Google SecOps fornisce una rappresentazione grafica della prevalenza storica di un determinato indirizzo IP. Questo grafico può essere utilizzato per determinare se l'indirizzo IP è stato già utilizzato all'interno dell'azienda e può fornire un'indicazione se l'indirizzo IP è associato a una determinata campagna che ha come target l'azienda.

In genere, gli indirizzi IP meno comuni, a cui sono connessi meno asset, potrebbero rappresentare una minaccia maggiore per la tua azienda. A differenza del grafico Prevalenza nella visualizzazione Asset, il grafico di questa figura mostra un accesso con prevalenza elevata nella parte superiore del grafico e un accesso con prevalenza bassa nella parte inferiore.

Quando passi il puntatore sopra una barra nel grafico Prevalenza, il grafico elenca gli asset che hanno eseguito l'accesso all'indirizzo IP. A causa dell'elevata prevalenza dei server DNS, non sono elencati. Se tutti gli asset sono server DNS, non viene visualizzato alcun asset.

2 Cursore per il grafico Prevalenza

Regola il cursore per concentrarti sugli eventi legati a un intervallo di date specifico, come mostrato nel grafico Prevalenza.

3. Informazioni sugli indirizzi IP

Gli approfondimenti sull'indirizzo IP forniscono maggiori informazioni sull'indirizzo IP in fase di indagine. Puoi utilizzarli per determinare se un indirizzo IP è legittimo o dannoso. Ti consentono inoltre di esaminare ulteriormente un indicatore per determinare se esiste una compromissione più ampia.

Elenco di reputazione di ET Intelligence: esegue controlli in base all'elenco di reputazione di Emerging Threats (ET) di ProofPoint. Elenca le minacce note associate a indirizzi IP e domini specifici.
ESET Threat Intelligence: Esegue controlli rispetto al servizio di threat intelligence di ESET.

4 Contesto VT

Fai clic su Contesto VT per visualizzare le informazioni di VirusTotal disponibili per questo indirizzo IP.

Considerazioni

La visualizzazione Indirizzo IP presenta le seguenti limitazioni:

Puoi filtrare solo gli eventi visualizzati in questa visualizzazione.
In questa visualizzazione vengono compilati solo i tipi di eventi DNS, EDR e Webproxy. Le informazioni relative alla prima e all'ultima visualizzazione inserite in questa visualizzazione sono limitate a questi tipi di eventi.
Gli eventi generici non vengono visualizzati in nessuna delle visualizzazioni curate. Vengono visualizzati solo nei log grezzi e nelle ricerche UDM.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.