IP-Adresse prüfen

Mit Chronicle können Sie bestimmte IP-Adressen untersuchen, um festzustellen, ob in Ihrem Unternehmen welche vorhanden sind und welche Auswirkungen diese externen Systeme auf Ihre Assets haben könnten. Die Chronicle-Ansicht IP-Adresse leitet sich aus denselben Sicherheitsinformationen und Daten ab, die von Ihrem Unternehmen weitergeleitet werden, und kann mithilfe der Asset-Ansicht untersucht werden. Achten Sie darauf, dass Sie Daten von Geräten in Ihrem Netzwerk wie EDR, Firewall, Web-Proxy usw. aufnehmen und normalisieren.

In der Asset-Ansicht beginnen Sie die Untersuchung innerhalb Ihres Unternehmens und blicken nach außen. Starten Sie die Untersuchung von außerhalb Ihres Unternehmens in der Ansicht IP-Adresse und sehen Sie hinein.

Führen Sie die folgenden Schritte aus, um in Chronicle auf die Ansicht IP-Adresse zuzugreifen:

  1. Geben Sie auf der Chronicle-Landingpage die IP-Adresse in die Suchleiste ein. Klicken Sie auf Suchen.
  2. Klicken Sie in den Ergebnissen auf die IP-Adresse, um die Ansicht IP-Adresse zu öffnen.

Kontext der IP-Adresse

Ansicht der IP-Adresse Ansicht der IP-Adresse

1 Vorherrschung

Chronicle bietet eine grafische Darstellung der bisherigen Verbreitung einer bestimmten IP-Adresse. Anhand dieser Grafik lässt sich feststellen, ob die IP-Adresse schon einmal von einem Unternehmen aus aufgerufen wurde. Außerdem kann die Grafik Aufschluss darüber geben, ob die IP-Adresse einer bestimmten, auf das Unternehmen ausgerichteten Kampagne zugeordnet ist.

In der Regel stellen weniger verbreitete IP-Adressen, mit denen weniger Assets verbunden sind, eine größere Bedrohung für Ihr Unternehmen dar. Im Gegensatz zum Diagramm Prävalenz in der Asset-Ansicht zeigt die Grafik diese Abbildung oben in der Grafik einen hohen Zugang und unten in der Grafik einen Zugriff mit geringer Prävalenz.

Wenn Sie den Mauszeiger auf einen Balken im Diagramm Prävalenz bewegen, werden im Diagramm die Assets aufgelistet, über die auf die IP-Adresse zugegriffen wurde. Aufgrund der hohen Verbreitung von DNS-Servern werden sie nicht aufgeführt. Wenn es sich bei allen Assets um DNS-Server handelt, werden keine Assets aufgelistet.

2 Schieberegler für die Verbreitungsgrafik

Passen Sie den Schieberegler an, um sich auf Ereignisse zu konzentrieren, die mit einem bestimmten Datumsbereich verbunden sind, wie in der Häufigkeitsgrafik dargestellt.

3 Statistiken zu IP-Adressen

Statistiken zu IP-Adressen liefern Ihnen mehr Kontext zur IP-Adresse, die untersucht wird. Damit können Sie feststellen, ob eine IP-Adresse harmlos oder schädlich ist. Sie bieten Ihnen auch die Möglichkeit, einen Indikator genauer zu untersuchen, um festzustellen, ob es einen umfassenderen Kompromiss gibt.

  • ET Intelligence Rep List: Vergleicht die Emerging Threats (ET) Intelligence Rep List von ProofPoint. Listet bekannte Bedrohungen auf, die mit bestimmten IP-Adressen und Domains verbunden sind.

  • ESET Threat Intelligence: Vergleicht die Ergebnisse auf den Threat Intelligence-Dienst von ESET.

4 VT-Kontext

Klicken Sie auf VT-Kontext, um die für diese IP-Adresse verfügbaren VirusTotal-Informationen aufzurufen.

Hinweise

Für die Ansicht der IP-Adresse gelten folgende Einschränkungen:

  • Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
  • In dieser Ansicht werden nur die Ereignistypen DNS, EDR und Webproxy dargestellt. Die zuerst gesehenen und zuletzt gesehenen Informationen in dieser Ansicht sind ebenfalls auf diese Ereignistypen beschränkt.
  • Allgemeine Ereignisse werden in keiner der ausgewählten Ansichten angezeigt. Sie werden nur in Log-Rohdaten- und UDM-Suchen angezeigt.