調查 IP 位址

Google Security Operations 可讓您調查特定 IP 位址，判斷企業內是否有任何 IP 位址，以及這些外部系統可能對資產造成的影響。Google SecOps IP 位址檢視畫面是根據企業轉送的相同安全性資訊和資料衍生而來，可使用資產檢視畫面進行檢查。確認你正在從網路上的裝置 (例如 EDR、防火牆、Web 代理等) 擷取及正規化資料。

在「資產」檢視畫面中，您可以從企業內部開始調查，然後向外查看。在「IP 位址」檢視畫面中，您可以從企業外部開始調查，然後深入瞭解。

如要在 Google SecOps 中存取 IP 位址檢視畫面，請完成下列步驟：

1. 在 Google SecOps 登陸頁面，於搜尋列中輸入 IP 位址。按一下 [搜尋]。
2. 按一下結果中的 IP 位址，開啟「IP 位址」檢視畫面。

IP 位址環境

IP 位址檢視畫面

1 普及度

Google SecOps 會以圖表呈現特定 IP 位址的歷史普及率。這個圖表可用於判斷 IP 位址是否曾從企業內部存取，並指出 IP 位址是否與以企業為目標的特定廣告活動相關聯。

通常，較不常見的 IP 位址 (即連結的資產較少) 可能對企業構成較大的威脅。與素材資源檢視畫面中的「普及率」圖表不同，這張圖表顯示的是普及率較高的存取權限位於圖表頂端，普及率較低的存取權限則位於底部。

將指標懸停在「普及率」圖表中的長條上，圖表就會列出存取 IP 位址的資產。由於 DNS 伺服器十分常見，因此未列出。如果所有資產都是 DNS 伺服器，系統就不會列出任何資產。

2 使用率圖表的滑桿

調整滑桿，即可在「盛行率」圖表中，查看特定日期範圍的事件。

3 IP 位址深入分析

IP 位址深入分析可提供更多與調查中的 IP 位址相關的背景資訊。您可以藉此判斷 IP 位址是否安全或惡意。此外，您也可以進一步調查指標，判斷是否出現更大範圍的安全性遭入侵事件。

• ET Intelligence Rep List：根據 ProofPoint 的新興威脅 (ET) 智慧型 Rep List 進行檢查。列出與特定 IP 位址和網域相關的已知威脅。

• ESET 威脅情報： 根據 ESET 的威脅情報服務進行檢查。

4 VT 背景資訊

按一下「VT Context」，即可查看這個 IP 位址的 VirusTotal 資訊。

注意事項

IP 位址檢視畫面有下列限制：

• 您只能篩選這個檢視畫面中顯示的事件。
• 這個檢視畫面只會填入 DNS、EDR 和 Webproxy 事件類型。這個檢視畫面中填入的首次和上次出現資訊，也僅限於這些事件類型。
• 一般事件不會顯示在任何精選檢視畫面中。這類項目只會顯示在原始記錄和 UDM 搜尋中。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。