Investigar una dirección IP

Chronicle te permite investigar direcciones IP específicas para determinar si hay alguna presente en tu empresa y qué impacto podrían haber tenido estos sistemas externos en tus recursos. La vista Dirección IP de Chronicle se deriva de la misma información de seguridad y los mismos datos que se reenvían desde tu empresa, y puede examinarse con la vista de recursos. Asegúrate de transferir y normalizar datos de los dispositivos de tu red, como EDR, firewall, proxy web, etcétera.

En la vista de recursos, puedes comenzar la investigación desde tu empresa y mirar hacia afuera. Desde la vista de la dirección IP, puedes comenzar la investigación desde fuera de la empresa y examinarla.

Para acceder a la vista de dirección IP en Chronicle, sigue estos pasos:

  1. En la página de destino de Chronicle, ingresa la dirección IP en la barra de búsqueda. Haz clic en Buscar.
  2. Haz clic en la dirección IP que aparece en los resultados para abrir la vista Dirección IP.

Contexto de la dirección IP

Vista de la dirección IP Vista de la dirección IP

1 Prevalencia

Chronicle ofrece una representación gráfica de la prevalencia histórica de una dirección IP determinada. Este gráfico se puede usar para determinar si se accedió a la dirección IP desde la empresa antes, y puede proporcionar una indicación de si la dirección IP está asociada con una campaña en particular dirigida a la empresa.

Por lo general, las direcciones IP menos frecuentes, a las que se conectan menos elementos, pueden representar una mayor amenaza para la empresa. A diferencia del gráfico Prevalencia en la vista Recursos, el gráfico en el que se muestra esta figura muestra un acceso de prevalencia alta en la parte superior del gráfico y un acceso de prevalencia baja en la parte inferior.

Cuando mantienes el puntero sobre una barra del gráfico Prevalencia, el gráfico enumera los recursos que accedieron a la dirección IP. Debido a la alta prevalencia de los servidores DNS, no aparecen en la lista. Si todos los elementos son servidores DNS, no se enumeran elementos.

Control deslizante de 2 para el gráfico de prevalencia

Ajusta el control deslizante para enfocarte en los eventos vinculados a un rango específico de fechas, como se muestra en el gráfico Prevalencia.

3 estadísticas de direcciones IP

Las estadísticas de direcciones IP te proporcionan más contexto sobre la dirección IP que se investiga. Puedes usarlos para determinar si una dirección IP es benigna o maliciosa. También te brindan la capacidad de investigar en más detalle un indicador para determinar si hay un compromiso mayor.

  • ET Intelligence Rep List: Comprobaciones contra la lista de representantes de inteligencia de amenazas emergentes (ET) de ProofPoint. Enumera las amenazas conocidas vinculadas a direcciones IP y dominios específicos.

  • ESET Threat Intelligence: Realiza verificaciones contra el servicio de inteligencia de amenazas de ESET.

4 Contexto de VT

Haz clic en Contexto de VT para ver la información de VirusTotal disponible para esta dirección IP.

Consideraciones

La vista de direcciones IP tiene las siguientes limitaciones:

  • Solo puedes filtrar los eventos que se muestran en esta vista.
  • En esta vista, solo se propagan los tipos de eventos de DNS, EDR y proxy web. La primera y la última información vista que se propaga en esta vista también se limita a estos tipos de eventos.
  • Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Aparecen solo en búsquedas de registros sin procesar y UDM.