Cette page a été traduite par l'API Cloud Translation.

Rechercher une adresse IP

Google Security Operations vous permet d'enquêter sur des adresses IP spécifiques afin de déterminer si elles existent dans votre entreprise et l'impact que ces systèmes externes ont pu avoir sur vos ressources. La vue IP address (Adresse IP) de Google Security Operations est dérivée des mêmes informations et données de sécurité que celles transmises par votre entreprise et que vous pouvez examiner à l'aide de la vue des éléments. Assurez-vous d'ingérer et de normaliser des données à partir d'appareils de votre réseau, tels qu'EDR, pare-feu, proxy Web, etc.

À partir de la vue des éléments, vous commencez votre investigation au sein de votre entreprise et êtes tourné vers l'extérieur. À partir de la vue Adresse IP, vous commencez votre examen en dehors de votre entreprise.

Pour accéder à la vue Adresse IP dans Google Security Operations, procédez comme suit:

Sur la page de destination de Google Security Operations, saisissez l'adresse IP dans la barre de recherche. Cliquez sur Rechercher.
Dans les résultats, cliquez sur l'adresse IP pour ouvrir la vue Adresse IP.

Contexte de l'adresse IP

Vue des adresses IP

1 Prévalence

Google Security Operations fournit une représentation graphique de la prévalence historique d'une adresse IP donnée. Ce graphique permet de déterminer si l'adresse IP a déjà fait l'objet d'un accès depuis l'entreprise et peut indiquer si elle est associée à une campagne spécifique ciblant l'entreprise.

En règle générale, les adresses IP moins courantes, c'est-à-dire celles auxquelles moins d'éléments sont connectés, peuvent constituer une menace plus importante pour votre entreprise. Contrairement au graphique Prévalence de la vue "Asset" (Élément), le graphique de cette figure montre un accès à prévalence élevé en haut du graphique et un accès à faible prévalence en bas.

Lorsque vous maintenez le pointeur sur une barre du graphique Prévalence, celui-ci répertorie les éléments ayant accédé à l'adresse IP. En raison de la forte prévalence des serveurs DNS, ils ne sont pas répertoriés. Si tous les éléments sont des serveurs DNS, aucun élément n'est répertorié.

2 curseurs pour le graphique de prévalence

Ajustez le curseur pour vous concentrer sur les événements liés à une plage de dates spécifique, comme indiqué dans le graphique de prévalence.

Trois insights sur les adresses IP

Les insights sur les adresses IP vous fournissent plus de contexte sur l'adresse IP qui fait l'objet d'une enquête. Vous pouvez les utiliser pour déterminer si une adresse IP est inoffensive ou malveillante. Elles vous permettent également d'enquêter plus en détail sur un indicateur pour déterminer s'il existe un compromis plus large.

Liste des représentants du renseignement ET: vérification par rapport à la liste des représentants du renseignement sur les menaces émergentes (ET) de ProofPoint. Recense les menaces connues liées à des adresses IP et des domaines spécifiques.
Renseignements sur les menaces ESET : vérifications par rapport au service de renseignement sur les menaces d'ESET.

4 Contexte de la vérification

Cliquez sur VT Context (Contexte du VTT) pour afficher les informations VirusTotal disponibles pour cette adresse IP.

Remarques

L'affichage des adresses IP présente les limites suivantes:

Vous ne pouvez filtrer que les événements affichés dans cette vue.
Seuls les types d'événements DNS, EDR et Webproxy sont renseignés dans cette vue. Les informations de première et de dernière occurrence qui sont renseignées dans cette vue sont également limitées à ces types d'événements.
Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les recherches de journaux bruts et UDM.