Indagine su un indirizzo IP
Google Security Operations consente di esaminare indirizzi IP specifici per determinare se sono presenti all'interno della tua azienda e l'impatto che questi sistemi esterni potrebbero avere sulle tue risorse. La visualizzazione dell'indirizzo IP di Google Security Operations deriva dalle stesse informazioni sulla sicurezza e dagli stessi dati inoltrati dall'azienda e può essere esaminata utilizzando la visualizzazione Asset. Assicurati di importare e normalizzare i dati dai dispositivi sulla tua rete, ad esempio EDR, firewall, proxy web e così via.
Nella visualizzazione Asset, inizi l'indagine dall'interno dell'azienda e guardi verso l'esterno. Nella visualizzazione dell'indirizzo IP, inizi l'indagine dall'esterno della tua azienda ed esegui la ricerca.
Per accedere alla visualizzazione Indirizzo IP in Google Security Operations, completa i seguenti passaggi:
- Nella pagina di destinazione di Google Security Operations, inserisci l'indirizzo IP nella barra di ricerca. Fai clic su Cerca.
- Fai clic sull'indirizzo IP nei risultati per aprire la visualizzazione Indirizzo IP.
Contesto dell'indirizzo IP
Vista indirizzo IP
1 Prevalenza
Google Security Operations fornisce una rappresentazione grafica della prevalenza storica di un determinato indirizzo IP. Questo grafico può essere utilizzato per determinare se è già stato eseguito l'accesso all'indirizzo IP dall'azienda in precedenza e può fornire un'indicazione se l'indirizzo IP è associato a una determinata campagna che ha come target l'azienda.
In genere, gli indirizzi IP meno diffusi, ovvero quelli a cui sono collegati meno asset, potrebbero costituire una minaccia maggiore per la tua azienda. A differenza del grafico Prevalenza in Visualizzazione asset, questo grafico mostra un accesso a una prevalenza elevata nella parte superiore del grafico e un accesso a bassa prevalenza in basso.
Quando tieni il puntatore sopra una barra del grafico Prevalenza, questo elenca gli asset che hanno eseguito l'accesso all'indirizzo IP. A causa dell'elevata prevalenza di server DNS, non sono elencati. Se tutti gli asset sono server DNS, non verrà elencato alcun asset.
2 Dispositivo di scorrimento per il grafico della prevalenza
Regola il dispositivo di scorrimento per impostare lo stato attivo sugli eventi associati a un intervallo di date specifico, come mostrato nel grafico della prevalenza.
3 Insight sugli indirizzi IP
Gli insight sull'indirizzo IP forniscono maggiore contesto sull'indirizzo IP oggetto dell'indagine. Puoi utilizzarle per determinare se un indirizzo IP è innocuo o dannoso. Forniscono inoltre la possibilità di effettuare ulteriori accertamenti su un indicatore per determinare se esiste una compromissione più ampia.
Elenco dei rappresentanti di intelligence ET: controlli delle minacce emergenti di ProofPoint (ET) Elenco dei rappresentanti di intelligence. Elenca le minacce note legate a domini e indirizzi IP specifici.
ESET Threat Intelligence: verifica con il servizio di intelligence sulle minacce di ESET.
4 Contesto VT
Fai clic su VT Context per visualizzare le informazioni di VirusTotal disponibili per questo indirizzo IP.
Considerazioni
La vista dell'indirizzo IP presenta le seguenti limitazioni:
- Puoi filtrare solo gli eventi mostrati in questa visualizzazione.
- In questa vista vengono compilati solo i tipi di eventi DNS, EDR e Webproxy. Anche le informazioni relative alla prima e all'ultima visualizzazione compilate in questa vista sono limitate a questi tipi di eventi.
- Gli eventi generici non vengono mostrati in nessuna delle visualizzazioni selezionate. Vengono visualizzati solo nelle ricerche nei log non elaborati e UDM.