Questa pagina è stata tradotta dall'API Cloud Translation.

Indagine su un indirizzo IP

Supportato in:

Google SecOps SIEM

Google Security Operations ti consente di esaminare indirizzi IP specifici per determinare se sono presenti nella tua azienda e l'impatto che questi sistemi esterni potrebbero aver avuto sulle tue risorse. La visualizzazione Indirizzo IP di Google Security Operations è ricavata dalle stesse informazioni e dagli stessi dati sulla sicurezza inoltrati dalla tua azienda e può essere esaminata utilizzando la visualizzazione Asset. Assicurati di importare e normalizzare i dati dai dispositivi della tua rete, come EDR, firewall, proxy web e così via.

Dalla visualizzazione Asset, puoi iniziare la tua indagine dall'interno della tua azienda e rivolgerti all'esterno. Dalla visualizzazione Indirizzo IP, puoi iniziare la tua indagine dall'esterno della tua azienda e guardare all'interno.

Per accedere alla visualizzazione Indirizzo IP in Google Security Operations:

Nella pagina di destinazione di Google Security Operations, inserisci l'indirizzo IP nella barra di ricerca. Fai clic su Cerca.
Fai clic sull'indirizzo IP nei risultati per aprire la visualizzazione Indirizzo IP.

Contesto indirizzo IP

Visualizzazione Indirizzo IP

1 Prevalenza

Google Security Operations fornisce una rappresentazione grafica della prevalenza storica di un determinato indirizzo IP. Questo grafico può essere utilizzato per determinare se è stato eseguito accesso all'indirizzo IP dall'interno dell'azienda in passato e può fornire un'indicazione se l'indirizzo IP è associato a una determinata campagna che ha come target l'azienda.

In genere, gli indirizzi IP meno diffusi, a cui si sono collegati meno asset, potrebbero rappresentare una minaccia maggiore per la tua azienda. A differenza del grafico Prevalenza nella visualizzazione Asset, il grafico in questa figura mostra un accesso con elevata prevalenza nella parte superiore del grafico e un accesso con bassa prevalenza nella parte inferiore.

Quando passi il cursore del mouse sopra una barra del grafico Prevalenza, vengono elencati gli asset che hanno eseguito l'accesso all'indirizzo IP. A causa dell'elevata prevalenza di server DNS, non sono elencati. Se tutti gli asset sono server DNS, non viene elencato nessun asset.

2 cursori per il grafico della prevalenza

Modifica il cursore per concentrarti sugli eventi legati a un intervallo di date specifico, come mostrato nel grafico Incidenza.

3 Approfondimenti sugli indirizzi IP

Le informazioni sugli indirizzi IP forniscono più contesto sull'indirizzo IP in esame. Puoi utilizzarli per determinare se un indirizzo IP è benigno o malevolo. Ti consentono inoltre di esaminare ulteriormente un indicatore per determinare se è presente un compromesso più ampio.

ET Intelligence Rep List: vengono eseguiti controlli in base all'elenco di rappresentanti di intelligence sulle minacce emergenti (ET) di Proofpoint. Elenca le minacce note associate a indirizzi IP e domini specifici.
ESET Threat Intelligence: effettua controlli in base al servizio di threat intelligence di ESET.

4 Contesto VT

Fai clic su Contesto VT per visualizzare le informazioni di VirusTotal disponibili per questo indirizzo IP.

Considerazioni

La visualizzazione degli indirizzi IP presenta le seguenti limitazioni:

Puoi filtrare solo gli eventi visualizzati in questa visualizzazione.
In questa visualizzazione vengono compilati solo i tipi di eventi DNS, EDR e Webproxy. Anche le informazioni su prima apparizione e ultima apparizione compilate in questa visualizzazione sono limitate a questi tipi di eventi.
Gli eventi generici non vengono visualizzati in nessuna delle visualizzazioni selezionate. Vengono visualizzati solo nelle ricerche dei log non elaborati e UDM.