Esta página foi traduzida pela API Cloud Translation.

Investigar um endereço IP

Compatível com:

Google SecOps SIEM

O Google Security Operations permite investigar endereços IP específicos para determinar se algum deles está presente na sua empresa e qual impacto esses sistemas externos podem ter nos seus recursos. A visualização Endereço IP do Google Security Operations é derivada das mesmas informações de segurança e dados encaminhados pela sua empresa e pode ser examinada usando a visualização de recursos. Confira se você está ingerindo e normalizando dados de dispositivos na sua rede, como EDR, firewall, proxy da Web etc.

Na visualização de recursos, você começa a investigação na sua empresa e procura fora dela. Na visualização Endereço IP, você começa a investigação fora da empresa e olha para dentro dela.

Para acessar a visualização Endereço IP no Google Security Operations, siga estas etapas:

Na página de destino do Google Security Operations, insira o endereço IP na barra de pesquisa. Clique em Pesquisar.
Clique no endereço IP nos resultados para abrir a visualização Endereço IP.

Contexto do endereço IP

Visualização de endereço IP

1 Prevalência

O Google Security Operations fornece uma representação gráfica da prevalência histórica de um determinado endereço IP. Esse gráfico pode ser usado para determinar se o endereço IP já foi acessado dentro da empresa e pode indicar se o endereço IP está associado a uma campanha específica direcionada à empresa.

Normalmente, endereços IP menos comuns, aos quais menos recursos se conectaram, podem representar uma ameaça maior para sua empresa. Ao contrário do gráfico Prevalence na visualização de recursos, o gráfico desta figura mostra um acesso de alta prevalência na parte de cima e um acesso de baixa prevalência na parte de baixo.

Quando você mantém o cursor sobre uma barra no gráfico Prevalência, ele lista os recursos que acessaram o endereço IP. Devido à alta prevalência de servidores DNS, eles não são listados. Se todos os recursos forem servidores DNS, nenhum recurso será listado.

2 Controle deslizante para o gráfico de prevalência

Ajuste o controle deslizante para focar em eventos vinculados a um período específico de datas, conforme mostrado no gráfico "Prevalência".

3 insights sobre endereços IP

Os insights de endereço IP oferecem mais contexto sobre o endereço IP em investigação. Eles podem ser usados para determinar se um endereço IP é benigno ou malicioso. Elas também permitem investigar melhor um indicador para determinar se há uma violação mais ampla.

Lista de relatórios de inteligência de ameaças emergentes: verifica a lista de relatórios de inteligência de ameaças emergentes (ET) da ProofPoint. Lista ameaças conhecidas vinculadas a endereços IP e domínios específicos.
ESET Threat Intelligence: verifica o serviço de inteligência de ameaças da ESET.

4 Contexto do VT

Clique em VT Context para conferir as informações do VirusTotal disponíveis para este endereço IP.

Considerações

A visualização de endereços IP tem as seguintes limitações:

Só é possível filtrar os eventos que aparecem nessa visualização.
Somente os tipos de evento DNS, EDR e Webproxy são preenchidos nessa visualização. As informações de primeira e última visualização preenchidas nessa visualização também são limitadas a esses tipos de evento.
Os eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles aparecem apenas em registros brutos e pesquisas da UDM.