Questa pagina è stata tradotta dall'API Cloud Translation.

Indagine su un indirizzo IP

Supportato in:

Google SecOps SIEM

Google Security Operations consente di esaminare indirizzi IP specifici per determinare se sono presenti all'interno della tua azienda e quale impatto hanno questi sistemi esterni che avrebbero avuto sulle tue risorse. La vista Indirizzo IP di Google Security Operations viene ricavata gli stessi dati di sicurezza e dati inoltrati dalla tua azienda possono esaminare utilizzando la visualizzazione Asset. Assicurati di importare e normalizzare i dati dai dispositivi sulla rete, come EDR, firewall, proxy web e così via

Dalla visualizzazione Asset, puoi iniziare la tua indagine dall'interno della tua azienda e rivolgere lo sguardo all'esterno. Dalla visualizzazione Indirizzo IP, puoi iniziare la tua indagine dall'esterno della tua azienda e guardare all'interno.

Per accedere alla visualizzazione Indirizzo IP in Google Security Operations:

Nella pagina di destinazione di Google Security Operations, inserisci l'indirizzo IP nella barra di ricerca. Fai clic su Cerca.
Fai clic sull'indirizzo IP nei risultati per aprire la visualizzazione Indirizzo IP.

Contesto indirizzo IP

Visualizzazione indirizzo IP Vista indirizzo IP

1 Prevalenza

Google Security Operations fornisce una rappresentazione grafica dei dati storici prevalenza di un dato indirizzo IP. Questo grafico può essere utilizzato per determinare se è stato eseguito accesso all'indirizzo IP dall'interno dell'azienda in passato e può fornire un'indicazione se l'indirizzo IP è associato a una determinata campagna che ha come target l'azienda.

In genere, si tratta di indirizzi IP meno diffusi, ovvero con meno asset connessi. potrebbe costituire una minaccia maggiore per la tua azienda. A differenza della metrica Prevalenza in Visualizzazione asset, il grafico di questa figura mostra un accesso a prevalenza elevata a nella parte superiore del grafico e l'accesso a una bassa prevalenza nella parte inferiore.

Quando passi il cursore del mouse sopra una barra nel grafico Prevalenza, vengono elencati gli asset che hanno eseguito l'accesso all'indirizzo IP. A causa dell'elevata prevalenza di server DNS, non sono elencati. Se tutti gli asset sono server DNS, non viene elencato nessun asset.

2 cursori per il grafico della prevalenza

Regola il dispositivo di scorrimento per impostare lo stato attivo sugli eventi associati a un intervallo specifico di date, come mostrato. nel grafico della prevalenza.

3 Approfondimenti sugli indirizzi IP

Le informazioni sugli indirizzi IP forniscono più contesto sull'indirizzo IP in esame. Puoi utilizzarle per determinare se un indirizzo IP è innocuo o dannoso. Ti consentono inoltre di esaminare ulteriormente un indicatore per determinare se è presente un compromesso più ampio.

ET Intelligence Rep List: vengono eseguiti controlli in base all'elenco di rappresentanti di intelligence sulle minacce emergenti (ET) di Proofpoint. Elenca le minacce note associate a indirizzi IP e domini specifici.
ESET Threat Intelligence: effettua controlli in base al servizio di threat intelligence di ESET.

4 Contesto VT

Fai clic su VT Context per visualizzare le informazioni di VirusTotal disponibili per questo IP .

Considerazioni

La visualizzazione degli indirizzi IP presenta le seguenti limitazioni:

Puoi filtrare solo gli eventi mostrati in questa visualizzazione.
In questa vista vengono compilati solo i tipi di eventi DNS, EDR e Webproxy. Anche le informazioni su prima apparizione e ultima apparizione compilate in questa visualizzazione sono limitate a questi tipi di eventi.
Gli eventi generici non vengono visualizzati in nessuna delle visualizzazioni selezionate. Vengono visualizzati solo nelle ricerche dei log non elaborati e dei dati UDM.