调查 IP 地址
借助 Google 安全运维套件,您可以调查特定的 IP 地址,以确定您的企业中是否存在这些 IP 地址,以及这些外部系统可能会对您的资产造成哪些影响。Google 安全运维 IP 地址视图派生自从您的企业转发的同一安全信息和数据,可以使用“资产”视图进行检查。确保从网络上的设备(例如 EDR、防火墙、Web 代理等)中提取数据并对其进行标准化。
从“资产”视图开始,您可以从企业内部开始调查并展开调查。在 IP 地址视图中,您可以从企业外部开始调查并进行调查。
如需在 Google Security Operations 中访问 IP 地址视图,请完成以下步骤:
- 在 Google 安全运维服务着陆页的搜索栏中输入 IP 地址。点击搜索。
- 点击结果中的 IP 地址以打开 IP 地址视图。
IP 地址上下文
IP 地址视图
1 发生率
Google 安全运维套件会以图形方式呈现指定 IP 地址的历史发生率。此图表可用于确定之前是否从企业内部访问了该 IP 地址,并可指示该 IP 地址是否与针对企业的特定广告系列相关联。
通常,不太常见的 IP 地址(即已关联较少的 IP 地址)可能对您的企业构成更大的威胁。与“资产”视图中的发生率图表不同,此图在图表顶部显示了高发生率访问权限,在底部显示低普及率访问权限。
将指针悬停在普及率图表中的某个条形上时,该图表会列出访问该 IP 地址的资产。由于 DNS 服务器普及率较高,因此未列出。如果所有资产都是 DNS 服务器,则系统不会列出任何资产。
2 滑块用于显示发生率图表
调整滑块以关注与特定日期范围相关的事件,如“发生率”图表中所示。
3 项 IP 地址数据分析
IP 地址数据分析可为您提供有关正在调查的 IP 地址的更多背景信息。您可以使用它们来确定 IP 地址是良性还是恶意的。此外,您还可以进一步调查指示器,确定是否存在范围更大的危害。
ET Intelligence Rep List:检查 ProofPoint 的新兴威胁 (ET) 情报代表列表。列出与特定 IP 地址和网域相关的已知威胁。
ESET 威胁情报:对 ESET 的威胁情报服务进行检查。
4 VT 背景信息
点击 VT Context(VT 上下文),以查看此 IP 地址可用的 VirusTotal 信息。
注意事项
IP 地址视图具有以下限制:
- 您只能过滤此视图中显示的事件。
- 此视图中仅填充 DNS、EDR、Webproxy 事件类型。在此视图中填充的“首次看到”和“上次出现时间”信息也仅限于这些事件类型。
- 常规事件不会出现在任何精选视图中。它们仅出现在原始日志和 UDM 搜索结果中。