Rechercher une adresse IP
Google Security Operations vous permet d'analyser des adresses IP spécifiques pour déterminer le cas échéant dans votre entreprise et ce qui a un impact sur ces systèmes externes sur vos éléments. La vue Adresse IP de Google Security Operations est dérivée à partir des mêmes informations et données de sécurité transférées depuis votre entreprise examiner à l'aide de la vue des éléments. Veillez à ingérer et à normaliser les données provenant d'appareils sur votre réseau, tels qu'EDR, pare-feu, proxy Web, etc.
À partir de la vue des éléments, vous commencez votre investigation au sein de votre entreprise regarder vers l'extérieur. Dans la vue Adresse IP, vous commencez votre investigation en dehors de votre entreprise et vous regardez à l'intérieur.
Pour accéder à la vue Adresse IP dans Google Security Operations, procédez comme suit:
- Sur la page de destination de Google Security Operations, saisissez l'adresse IP dans la barre de recherche. Cliquez sur Rechercher.
- Dans les résultats, cliquez sur l'adresse IP pour ouvrir la vue Adresse IP.
Contexte de l'adresse IP
Vue "Adresse IP"
1 Prévalence
Google Security Operations fournit une représentation graphique de l'historique de la prévalence d'une adresse IP donnée. Ce graphique permet de déterminer si l'adresse IP a déjà été consultée depuis l'entreprise et peut indiquer si l'adresse IP est associée à une campagne spécifique ciblant l'entreprise.
En règle générale, les adresses IP moins courantes, auxquelles moins d'éléments se sont connectés, peuvent représenter une menace plus importante pour votre entreprise. Contrairement au graphique Prévalence dans la vue "Composants", le graphique de cette figure indique un accès à forte prévalence en haut du graphique et un accès à faible prévalence en bas.
Lorsque vous maintenez le pointeur sur une barre du graphique Prévalence, le graphique liste les composants qui ont accédé à l'adresse IP. En raison de la forte prévalence des serveurs DNS, ils ne sont pas listés. Si tous les éléments sont des serveurs DNS, aucun élément n'est dans la liste.
2 curseurs pour le graphique de prévalence
Ajustez le curseur pour vous concentrer sur les événements associés à une plage de dates spécifique, comme indiqué dans le graphique "Prévalence".
Trois insights sur les adresses IP
Les insights sur les adresses IP vous fournissent plus de contexte sur l'adresse IP en cours d'examen. Vous pouvez les utiliser pour déterminer si une adresse IP est bénigne ou malveillante. Ils vous permettent également d'examiner plus en détail un indicateur pour déterminer s'il existe un piratage plus large.
Liste des représentants du renseignement ET: vérification par rapport aux menaces émergentes de ProofPoint (ET) Liste des représentants du renseignement. Liste les menaces connues liées à des adresses IP et domaines.
ESET Threat Intelligence : vérifications effectuées par le service de renseignement sur les menaces d'ESET.
4 Contexte VT
Cliquez sur Contexte VT pour afficher les informations VirusTotal disponibles pour cette adresse IP.
Remarques
L'affichage de l'adresse IP présente les limites suivantes:
- Vous ne pouvez filtrer que les événements affichés dans cette vue.
- Seuls les types d'événements DNS, EDR et Webproxy sont renseignés dans cette vue. Les informations sur la première et la dernière fois que l'utilisateur a été vu renseignées dans cette vue sont également limitées à ces types d'événements.
- Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les recherches de journaux bruts et de UDM.