Investigar una dirección IP
Chronicle te permite investigar direcciones IP específicas para determinar si hay alguna presente en tu empresa y qué impacto podrían haber tenido estos sistemas externos en tus recursos. La vista Dirección IP de Chronicle se deriva de la misma información de seguridad y los mismos datos que se reenvían desde tu empresa, y puede examinarse con la vista de recursos. Asegúrate de transferir y normalizar datos de los dispositivos de tu red, como EDR, firewall, proxy web, etcétera.
En la vista de recursos, puedes comenzar la investigación desde tu empresa y mirar hacia afuera. Desde la vista de la dirección IP, puedes comenzar la investigación desde fuera de la empresa y examinarla.
Para acceder a la vista de dirección IP en Chronicle, sigue estos pasos:
- En la página de destino de Chronicle, ingresa la dirección IP en la barra de búsqueda. Haz clic en Buscar.
- Haz clic en la dirección IP que aparece en los resultados para abrir la vista Dirección IP.
Contexto de la dirección IP
Vista de la dirección IP
1 Prevalencia
Chronicle ofrece una representación gráfica de la prevalencia histórica de una dirección IP determinada. Este gráfico se puede usar para determinar si se accedió a la dirección IP desde la empresa antes, y puede proporcionar una indicación de si la dirección IP está asociada con una campaña en particular dirigida a la empresa.
Por lo general, las direcciones IP menos frecuentes, a las que se conectan menos elementos, pueden representar una mayor amenaza para la empresa. A diferencia del gráfico Prevalencia en la vista Recursos, el gráfico en el que se muestra esta figura muestra un acceso de prevalencia alta en la parte superior del gráfico y un acceso de prevalencia baja en la parte inferior.
Cuando mantienes el puntero sobre una barra del gráfico Prevalencia, el gráfico enumera los recursos que accedieron a la dirección IP. Debido a la alta prevalencia de los servidores DNS, no aparecen en la lista. Si todos los elementos son servidores DNS, no se enumeran elementos.
Control deslizante de 2 para el gráfico de prevalencia
Ajusta el control deslizante para enfocarte en los eventos vinculados a un rango específico de fechas, como se muestra en el gráfico Prevalencia.
3 estadísticas de direcciones IP
Las estadísticas de direcciones IP te proporcionan más contexto sobre la dirección IP que se investiga. Puedes usarlos para determinar si una dirección IP es benigna o maliciosa. También te brindan la capacidad de investigar en más detalle un indicador para determinar si hay un compromiso mayor.
ET Intelligence Rep List: Comprobaciones contra la lista de representantes de inteligencia de amenazas emergentes (ET) de ProofPoint. Enumera las amenazas conocidas vinculadas a direcciones IP y dominios específicos.
ESET Threat Intelligence: Realiza verificaciones contra el servicio de inteligencia de amenazas de ESET.
4 Contexto de VT
Haz clic en Contexto de VT para ver la información de VirusTotal disponible para esta dirección IP.
Consideraciones
La vista de direcciones IP tiene las siguientes limitaciones:
- Solo puedes filtrar los eventos que se muestran en esta vista.
- En esta vista, solo se propagan los tipos de eventos de DNS, EDR y proxy web. La primera y la última información vista que se propaga en esta vista también se limita a estos tipos de eventos.
- Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Aparecen solo en búsquedas de registros sin procesar y UDM.