Esta página foi traduzida pela API Cloud Translation.

Investigar um endereço IP

Compatível com:

Google SecOps SIEM

As Operações de segurança do Google permitem que você investigue endereços IP específicos para determinar se há alguma em sua empresa e qual é o impacto desses sistemas externos poderia ter tido em seus ativos. A visualização Endereço IP do Google Security Operations é derivada das mesmas informações de segurança e dados encaminhados pela sua empresa e pode ser examinada usando a visualização de recursos. Confira se você está ingerindo e normalizando dados de dispositivos na sua rede, como EDR, firewall, proxy da Web etc.

Na visualização "Recurso", você começa sua investigação dentro da empresa e olhar para fora. Na visualização Endereço IP, você começa sua investigação fora sua empresa e analisar.

Para acessar a visualização Endereço IP nas Operações de segurança do Google, siga estas etapas:

Na página de destino das Operações de segurança do Google, digite o endereço IP na barra de pesquisa. Clique em Pesquisar.
Clique no endereço IP nos resultados para abrir a visualização Endereço IP.

Contexto do endereço IP

Visualização do endereço IP Visualização de endereço IP

1 Prevalência

As Operações de segurança do Google oferecem uma representação gráfica dos prevalência de um determinado endereço IP. Esse gráfico pode ser usado para determinar se o endereço IP já foi acessado dentro da empresa e pode indicar se o endereço IP está associado a uma campanha específica direcionada à empresa.

Normalmente, endereços IP menos comuns, aqueles aos quais menos recursos se conectaram, podem representar uma ameaça maior para sua empresa. Ao contrário de Prevalence, gráfico na visualização de recursos, a figura mostra o acesso com alta prevalência na parte superior do gráfico e acesso de baixa prevalência na parte inferior.

Quando você coloca o ponteiro sobre uma barra no gráfico de Prevalência, o gráfico lista os recursos que acessaram o endereço IP. Devido à alta prevalência de servidores DNS, eles não são listados. Se todos os recursos forem servidores DNS, nenhum recurso será listado.

2 Controle deslizante para o gráfico de prevalência

Ajuste o controle deslizante para focar em eventos vinculados a um intervalo específico de datas, conforme mostrado no gráfico de prevalência.

3 insights sobre endereços IP

Os insights sobre endereço IP fornecem mais contexto sobre o endereço IP em a investigação. Eles podem ser usados para determinar se um endereço IP é benigno ou malicioso. Eles também fornecem a capacidade de investigar mais a fundo um para determinar se há um comprometimento mais amplo.

Lista de relatórios de inteligência de ameaças emergentes: verifica a lista de relatórios de inteligência de ameaças emergentes (ET) da ProofPoint. Lista ameaças conhecidas vinculadas a endereços IP específicos e domínios.
ESET Threat Intelligence: verifica o serviço de inteligência de ameaças da ESET.

4 Contexto do VT

Clique em Contexto de VT para ver as informações do VirusTotal disponíveis para esse IP. endereço IP.

Considerações

A visualização do endereço IP tem as seguintes limitações:

Só é possível filtrar eventos que são exibidos nessa vista da propriedade.
Somente os tipos de evento DNS, EDR e Webproxy são preenchidos nessa visualização. A primeira As informações vistas e visualizadas pela última vez preenchidas nessa visualização também são limitadas a esses tipos de evento.
Eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles aparecem somente em registros brutos e pesquisas UDM.