Investigar una dirección IP
Google Security Operations te permite investigar direcciones IP específicas para determinar si hay alguna presente en tu empresa y qué impacto podrían haber tenido estos sistemas externos en tus recursos. La vista Dirección IP de Google Security Operations se deriva de los mismos datos y información de seguridad que se reenviaron desde tu empresa y se puede examinar con la vista de recursos. Asegúrate de transferir y normalizar los datos de los dispositivos de tu red, como EDR, firewall, proxy web, etcétera.
En la vista de recursos, comienzas la investigación desde tu empresa y mira hacia afuera. En la vista Dirección IP, comienzas la investigación desde fuera de la empresa y observas.
Para acceder a la vista de dirección IP en Google Security Operations, sigue estos pasos:
- En la página de destino de Google Security Operations, ingresa la dirección IP en la barra de búsqueda. Haz clic en Buscar.
- Haz clic en la dirección IP en los resultados para abrir la vista Dirección IP.
Contexto de la dirección IP
Vista de dirección IP
1 prevalencia
Google Security Operations proporciona una representación gráfica de la prevalencia histórica de una dirección IP determinada. Este gráfico se puede usar para determinar si se accedió antes a la dirección IP desde la empresa y puede proporcionar una indicación de si la dirección IP está asociada con una campaña en particular orientada a la empresa.
Por lo general, las direcciones IP menos frecuentes, aquellas a las que se conectan menos activos, pueden representar una mayor amenaza para tu empresa. A diferencia del gráfico Prevalencia de la vista de recursos, en el gráfico en esta figura se muestra un acceso de prevalencia alta en la parte superior del gráfico y un acceso de prevalencia baja en la parte inferior.
Cuando mantienes el puntero sobre una barra en el gráfico Prevalencia, el gráfico enumera los recursos que accedieron a la dirección IP. Debido a la alta prevalencia de los servidores DNS, no figuran en la lista. Si todos los recursos son servidores DNS, no se enumera ningún recurso.
Control deslizante de 2 para el gráfico de prevalencia
Ajusta el control deslizante para enfocarte en los eventos vinculados a un período específico, como se muestra en el gráfico de Prevalencia.
3 estadísticas de direcciones IP
Las estadísticas de direcciones IP te proporcionan más contexto sobre la dirección IP en investigación. Puedes usarlos para determinar si una dirección IP es benigna o maliciosa. También te permiten investigar más a fondo un indicador para determinar si hay una vulneración más amplia.
ET Intelligence Rep List: Checks contra ProofPoint's Emerging Threats (ET) Intelligence (Lista de representantes de inteligencia) de ProofPoint Enumera las amenazas conocidas vinculadas a direcciones IP y dominios específicos.
ESET Threat Intelligence: Verifica el servicio de inteligencia de amenazas de ESET.
4 Contexto de VT
Haz clic en VT Context para ver la información de VirusTotal disponible para esta dirección IP.
Consideraciones
La vista de dirección IP tiene las siguientes limitaciones:
- Solo puedes filtrar los eventos que se muestran en esta vista.
- En esta vista, solo se propagan los tipos de eventos DNS, EDR y Webproxy. La información del primer y último caso que se propaga en esta vista también se limita a estos tipos de eventos.
- Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en búsquedas de UDM y registros sin procesar.