Se usó la API de Cloud Translation para traducir esta página.

Investigar una dirección IP

Compatible con:

Google SecOps SIEM

Google Security Operations te permite investigar direcciones IP específicas para determinar si hay alguna en tu empresa y qué impacto podrían haber tenido estos sistemas externos en tus recursos. La vista IP address de Google Security Operations se deriva de la misma información de seguridad y los datos que se reenvían desde tu empresa y se puede examinar con la vista de activos. Asegúrate de transferir y normalizar los datos de los dispositivos de tu red, como EDR, firewall, proxy web, etcétera.

En la vista de recursos, comienzas la investigación desde tu empresa y miras hacia afuera. En la vista Dirección IP, comienzas la investigación desde fuera de tu empresa y observas dentro.

Para acceder a la vista de dirección IP en Operaciones de seguridad de Google, completa los siguientes pasos:

En la página de destino de Google Security Operations, ingresa la dirección IP en la barra de búsqueda. Haz clic en Buscar.
Haz clic en la dirección IP de los resultados para abrir la vista Dirección IP.

Contexto de la dirección IP

Vista de direcciones IP

1 Prevalencia

Google Security Operations proporciona una representación gráfica de la prevalencia histórica de una dirección IP determinada. Este gráfico se puede usar para determinar si se accedió a la dirección IP desde la empresa antes y puede indicar si la dirección IP está asociada con una campaña en particular segmentada para la empresa.

Por lo general, las direcciones IP menos frecuentes, a las que se conectaron menos recursos, pueden representar una amenaza mayor para tu empresa. A diferencia del gráfico Prevalence en la vista de recursos, el gráfico de esta figura muestra un acceso de alta prevalencia en la parte superior y un acceso de baja prevalencia en la parte inferior.

Cuando colocas el puntero sobre una barra del gráfico Prevalence, este muestra una lista de los recursos que accedieron a la dirección IP. Debido a la alta prevalencia de los servidores DNS, no se incluyen en la lista. Si todos los recursos son servidores DNS, no se enumeran ninguno.

2 controles deslizantes para el gráfico de prevalencia

Ajusta el control deslizante para enfocarte en los eventos vinculados a un período específico, como se muestra en el gráfico Prevalencia.

3 estadísticas de direcciones IP

Las estadísticas de direcciones IP te proporcionan más contexto sobre la dirección IP en investigación. Puedes usarlos para determinar si una dirección IP es benigna o maliciosa. También te permiten investigar más a fondo un indicador para determinar si hay una vulneración más amplia.

ET Intelligence Rep List: Realiza verificaciones en la lista de representantes de inteligencia de amenazas emergentes (ET) de ProofPoint. Muestra una lista de amenazas conocidas vinculadas a direcciones IP y dominios específicos.
ESET Threat Intelligence: Realiza verificaciones en el servicio de inteligencia de amenazas de ESET.

4 Contexto de VT

Haz clic en VT Context para ver la información de VirusTotal disponible para esta dirección IP.

Consideraciones

La vista de direcciones IP tiene las siguientes limitaciones:

Solo puedes filtrar los eventos que se muestran en esta vista.
Solo se completan los tipos de eventos de DNS, EDR y Webproxy en esta vista. La información de la primera visualización y la última visualización propagada en esta vista también se limita a estos tipos de eventos.
Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en las búsquedas de registros sin procesar y de la AUA.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.