Rechercher une adresse IP

Chronicle vous permet d'examiner des adresses IP spécifiques pour déterminer si elles sont présentes dans votre entreprise et l'impact que ces systèmes externes ont pu avoir sur vos ressources. La vue Adresse IP Chronicle est dérivée des informations de sécurité et des données transférées depuis votre entreprise. Elle peut être examinée à l'aide de la vue des éléments. Assurez-vous d'ingérer et de normaliser des données à partir d'appareils de votre réseau (EDR, pare-feu, proxy Web, etc.).

La vue des éléments vous permet de commencer votre investigation au sein de votre entreprise et de vous diversifier. À partir de la vue Adresse IP, vous commencez votre enquête en dehors de votre entreprise et vous regardez cela.

Pour accéder à la vue Adresses IP dans Chronicle, procédez comme suit:

  1. Sur la page de destination Chronicle, saisissez l'adresse IP dans la barre de recherche. Cliquez sur Rechercher.
  2. Cliquez sur l'adresse IP dans les résultats pour ouvrir la vue Adresse IP.

Contexte de l'adresse IP

Affichage des adresses IP Vue de l'adresse IP

1 prévalence

Chronicle fournit une représentation graphique de la prévalence historique d'une adresse IP donnée. Ce graphique permet de déterminer si l'adresse IP a déjà été consultée au sein de l'entreprise. Il peut également indiquer si l'adresse IP est associée à une campagne spécifique ciblant l'entreprise.

En règle générale, des adresses IP moins fréquentes, c'est-à-dire auxquelles moins d'éléments se sont connectés, peuvent représenter une menace plus importante pour votre entreprise. Contrairement au graphique Prevalence (Prévalence) de la vue des éléments, le graphique de cette figure montre un accès à prévalence élevée en haut du graphique et un accès à prévalence faible en bas.

Lorsque vous maintenez le pointeur sur une barre du graphique Prévalence, ce graphique répertorie les éléments qui ont accédé à l'adresse IP. En raison de la forte prévalence des serveurs DNS, ils ne sont pas répertoriés. Si toutes les ressources sont des serveurs DNS, aucun élément n'est listé.

2 curseurs pour le graphique de prévalence

Ajustez le curseur pour vous concentrer sur les événements liés à une plage de dates spécifique, comme indiqué dans le graphique "Prévalence".

3. Insights sur les adresses IP

Les insights sur les adresses IP vous fournissent plus de contexte sur l'adresse IP faisant l'objet d'un examen. Vous pouvez les utiliser pour déterminer si une adresse IP est bénigne ou malveillante. Ils vous permettent également d'examiner plus en détail un indicateur afin de déterminer s'il existe un compromis plus large.

  • Liste des représentants ET Intelligence: vérification par rapport à la liste des représentants des menaces émergentes (ET) de ProofPoint. Répertorie les menaces connues liées à des adresses IP et à des domaines spécifiques.

  • ESET Threat Intelligence : vérifie les informations du service de Threat Intelligence d'ESET.

4 VT Contexte

Cliquez sur VT Context (Contexte VT) pour afficher les informations VirusTotal disponibles pour cette adresse IP.

Remarques

L'affichage de l'adresse IP présente les limites suivantes:

  • Vous ne pouvez filtrer que les événements affichés dans cette vue.
  • Seuls les types d'événements DNS, EDR et Webproxy sont affichés dans cette vue. Les informations sur la première et la dernière visite qui sont renseignées dans cette vue sont également limitées à ces types d'événements.
  • Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les recherches de journaux bruts et UDM.