Investigar um endereço IP
As Operações de segurança do Google permitem que você investigue endereços IP específicos para determinar se há alguma em sua empresa e qual é o impacto desses sistemas externos poderia ter tido em seus ativos. A visualização Endereço IP do Google Security Operations é derivada das mesmas informações de segurança e dos dados encaminhados da sua empresa e podem examinar usando a visualização de recursos. Verifique se você está ingerindo e normalizando dados de dispositivos na sua rede, como EDR, firewall, proxy da Web etc.
Na visualização "Recurso", você começa sua investigação dentro da empresa e olhar para fora. Na visualização Endereço IP, você começa sua investigação fora sua empresa e analisar.
Para acessar a visualização Endereço IP no Google Security Operations, siga estas etapas:
- Na página de destino das Operações de segurança do Google, digite o endereço IP na barra de pesquisa. Clique em Pesquisar.
- Clique no endereço IP nos resultados para abrir a visualização Endereço IP.
Contexto do endereço IP
Visualização do endereço IP
1 Prevalência
O Google Security Operations fornece uma representação gráfica da prevalência histórica de um determinado endereço IP. Este gráfico pode ser usado para determinar o endereço IP já tiver sido acessado de dentro da empresa e pode indicar se o endereço IP está associado a uma determinada que segmentam a empresa.
Normalmente, endereços IP menos comuns, aqueles aos quais menos recursos se conectaram, podem representar uma ameaça maior para sua empresa. Ao contrário do gráfico Prevalence na visualização de recursos, o gráfico desta figura mostra um acesso de alta prevalência na parte de cima e um acesso de baixa prevalência na parte de baixo.
Quando você mantém o cursor sobre uma barra no gráfico Prevalência, ele lista os recursos que acessaram o endereço IP. Devido à alta prevalência de DNS servidores, eles não serão listados. Se todos os recursos forem servidores DNS, nenhum recurso será listado.
Dois controles deslizantes para o gráfico de prevalência
Ajuste o controle deslizante para focar em eventos vinculados a um intervalo específico de datas, conforme mostrado no gráfico de prevalência.
3 Insights sobre endereço IP
Os insights sobre endereço IP fornecem mais contexto sobre o endereço IP em a investigação. É possível usá-las para determinar se um endereço IP é benigno ou maliciosos. Eles também fornecem a capacidade de investigar mais a fundo um para determinar se há um comprometimento mais amplo.
Lista de representantes de inteligência do ET: verificações contra as ameaças emergentes (ET) da ProofPoint Lista de representantes de inteligência. Lista ameaças conhecidas vinculadas a endereços IP específicos e domínios.
Ameaça ESET Inteligência: Verifica o serviço de inteligência sobre ameaças da ESET.
4 Contexto do VT
Clique em Contexto de VT para ver as informações do VirusTotal disponíveis para esse IP. endereço IP.
Considerações
A visualização do endereço IP tem as seguintes limitações:
- Só é possível filtrar eventos que são exibidos nessa vista da propriedade.
- Somente os tipos de evento DNS, EDR e webproxy são preenchidos nessa visualização. As informações de primeira e última visualização preenchidas nessa visualização também são limitadas a esses tipos de evento.
- Eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles aparecem apenas em registros brutos e pesquisas da UDM.