Esta página foi traduzida pela API Cloud Translation.

Investigar um endereço IP

Compatível com:

Google SecOps SIEM

Com o Google Security Operations, é possível investigar endereços IP específicos para determinar se algum deles está presente na sua empresa e qual impacto esses sistemas externos podem ter causado nos seus recursos. A visualização de endereço IP do Google SecOps é derivada das mesmas informações e dados de segurança encaminhados da sua empresa e pode ser examinada usando a visualização de recursos. Verifique se você está ingerindo e normalizando dados de dispositivos na sua rede, como EDR, firewall, proxy da Web etc.

Na visualização de recursos, você começa a investigação na sua empresa e busca informações externas. Na visualização Endereço IP, você começa a investigação de fora da empresa e olha para dentro.

Para acessar a visualização Endereço IP no Google SecOps, siga estas etapas:

Na página de destino do Google SecOps, digite o endereço IP na barra de pesquisa. Clique em Pesquisar.
Clique no endereço IP nos resultados para abrir a visualização Endereço IP.

Contexto de endereço IP

Visualização de endereço IP

1 Prevalência

O Google SecOps oferece uma representação gráfica da prevalência histórica de um determinado endereço IP. Esse gráfico pode ser usado para determinar se o endereço IP já foi acessado de dentro da empresa e pode indicar se ele está associado a uma campanha específica segmentada para a empresa.

Normalmente, os endereços IP menos prevalentes, aos quais menos recursos estão conectados, podem representar uma ameaça maior para sua empresa. Ao contrário do gráfico de prevalência na visualização de recursos, o gráfico desta figura mostra um acesso de alta prevalência na parte superior e de baixa prevalência na parte inferior.

Quando você mantém o ponteiro sobre uma barra no gráfico de Prevalência, ele lista os recursos que acessaram o endereço IP. Devido à alta prevalência de servidores DNS, eles não são listados. Se todos os recursos forem servidores DNS, nenhum recurso será listado.

2 Controle deslizante para o gráfico de prevalência

Ajuste o controle deslizante para focar em eventos vinculados a um período específico, conforme mostrado no gráfico de prevalência.

3 insights de endereço IP

Os insights de endereço IP fornecem mais contexto sobre o endereço IP em investigação. É possível usá-los para determinar se um endereço IP é benigno ou malicioso. Além disso, eles permitem investigar mais a fundo um indicador para determinar se há um comprometimento maior.

Lista de reputação de inteligência de ameaças emergentes (ET, na sigla em inglês): verifica a lista de reputação de inteligência de ameaças emergentes (ET) da ProofPoint. Lista ameaças conhecidas vinculadas a endereços IP e domínios específicos.
Inteligência contra ameaças da ESET: verifica o serviço de inteligência contra ameaças da ESET.

4 Contexto do VT

Clique em Contexto do VT para ver as informações do VirusTotal disponíveis para esse endereço IP.

Considerações

A visualização de endereço IP tem as seguintes limitações:

Só é possível filtrar eventos que aparecem nessa visualização.
Somente os tipos de evento DNS, EDR e Webproxy são preenchidos nessa visualização. As informações de primeira e última visualização preenchidas nessa visualização também são limitadas a esses tipos de eventos.
Os eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Elas aparecem apenas no registro bruto e nas pesquisas de UDM.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.