Indagine su un indirizzo IP

Google Security Operations consente di analizzare indirizzi IP specifici per determinare se sono presenti all'interno della tua azienda e quale impatto potrebbero avere avuto sui tuoi asset. La visualizzazione Indirizzo IP di Google Security Operations deriva dalle stesse informazioni di sicurezza e dagli stessi dati inoltrati dalla tua azienda e può essere esaminata utilizzando la visualizzazione Asset. Assicurati di importare e normalizzare i dati dei dispositivi in rete, ad esempio EDR, firewall, proxy web e così via.

Dalla visualizzazione Asset, inizi l'indagine dall'interno della tua azienda e guardi verso l'esterno. Dalla visualizzazione Indirizzo IP, inizi l'indagine dall'esterno della tua azienda ed esegui la ricerca.

Per accedere alla visualizzazione Indirizzo IP in Google Security Operations, procedi nel seguente modo:

  1. Nella pagina di destinazione di Google Security Operations, inserisci l'indirizzo IP nella barra di ricerca. Fai clic su Cerca.
  2. Fai clic sull'indirizzo IP nei risultati per aprire la visualizzazione Indirizzo IP.

Contesto dell'indirizzo IP

Visualizzazione indirizzo IP Visualizzazione indirizzo IP

1 Prevalenza

Google Security Operations fornisce una rappresentazione grafica della prevalenza storica di un determinato indirizzo IP. Questo grafico può essere utilizzato per determinare se l'indirizzo IP è già stato eseguito dall'interno dell'azienda e può fornire un'indicazione se l'indirizzo IP è associato a una determinata campagna rivolta all'azienda.

In genere, gli indirizzi IP meno diffusi, a cui sono connessi meno asset, potrebbero rappresentare una minaccia maggiore per la tua azienda. A differenza del grafico Prevalenza nella visualizzazione Asset, il grafico questa figura mostra un accesso ad alta prevalenza nella parte superiore del grafico e un accesso a bassa prevalenza nella parte inferiore.

Quando tieni il puntatore su una barra del grafico Prevalenza, il grafico elenca gli asset che hanno avuto accesso all'indirizzo IP. A causa dell'elevata prevalenza di server DNS, non vengono elencati. Se tutti gli asset sono server DNS, non viene elencato nessun asset.

2 Cursore per il grafico della prevalenza

Regola il dispositivo di scorrimento per concentrarti sugli eventi legati a un intervallo di date specifico, come mostrato nel grafico Prevalenza.

3 insight sugli indirizzi IP

Gli insight sugli indirizzi IP forniscono maggiore contesto sull'indirizzo IP sottoposto a indagine. Puoi utilizzarli per determinare se un indirizzo IP è innocuo o dannoso. Inoltre, offrono la possibilità di indagare ulteriormente su un indicatore per stabilire se è presente una compromissione più ampia.

  • Elenco dei rappresentanti di ET Intelligence: controlli basati sull'elenco dei rappresentanti di intelligence (ET) di ProofPoint. Elenca le minacce note legate a indirizzi IP e domini specifici.

  • ESET Threat Intelligence: controlli rispetto al servizio di intelligence sulle minacce di ESET.

4 Contesto VT

Fai clic su Contesto VT per visualizzare le informazioni di VirusTotal disponibili per questo indirizzo IP.

Considerazioni

La visualizzazione degli indirizzi IP presenta le seguenti limitazioni:

  • Puoi filtrare solo gli eventi mostrati in questa visualizzazione.
  • In questa visualizzazione vengono compilati solo i tipi di eventi DNS, EDR e Webproxy. Le informazioni visualizzate per la prima volta e per l'ultima volta inserite in questa visualizzazione sono limitate a questi tipi di eventi.
  • Gli eventi generici non vengono mostrati in nessuna delle viste selezionate. Appaiono solo nelle ricerche di log non elaborati e UDM.