IP アドレスを調査する
Chronicle を使用すると、特定の IP アドレスを調査し、企業内における存在の有無と、これらの外部システムがアセットに及ぼした影響を把握できます。Chronicle の [ IP アドレス] ビューは、企業から転送された同じセキュリティ情報とデータから派生しており、アセットビューを使用して調べることができます。ネットワーク上のデバイスからデータ(EDR、ファイアウォール、ウェブプロキシなど)を取り込んで正規化していることを確認します。
アセットビューでは、企業内から調査を開始し、外部を見ます。[IP アドレス] ビューでは、企業の外部から調査を開始し、内部を見ます。
Chronicle で [IP アドレス] ビューにアクセスする方法は次のとおりです。
- Chronicle のランディング ページの検索バーに IP アドレスを入力します。[検索] をクリックします。
- 結果で見つかった IP アドレスをクリックして、[IP アドレス] ビューを開きます。
IP アドレスのコンテキスト
![[IP Address] ビュー](https://cloud.google.com/chronicle/images/ip-address-view.png?hl=ja)
[IP アドレス] ビュー
1 普及率
Chronicle は、特定の IP アドレスの過去の普及状況をグラフで表現します。このグラフは、以前に IP アドレスが企業内からアクセスされているかどうかを判定するために使用できます。また、この IP アドレスが企業を対象とする特定のキャンペーンに関連付けられているかどうかを示すこともできます。
通常、あまり普及していない IP アドレス(接続されるアセットが少ないアドレス)は、企業に対する脅威の増大につながる可能性があります。アセットビューの [普及率] グラフとは異なり、このグラフでは、上部に普及率が高いアクセス、下部に普及率が低いアクセスが表示されます。
[普及率] グラフの棒の上にポインタを置くと、グラフにはIP アドレスにアクセスしたアセットが一覧表示されます。DNS サーバーは普及率が高いため、リスト表示されません。すべてのアセットが DNS サーバーである場合、アセットはリスト表示されません。
2 普及率グラフのスライダー
スライダーを調整して、普及率グラフに示される特定の期間に関連付けられたイベントにフォーカスします。
3 IP アドレスの分析情報
IP アドレスの分析情報を使用すると、調査対象の IP アドレスについて詳細なコンテキストを取得できます。このコンテキストを使用して、IP アドレスが無害であるか悪性であるかを判断できます。指標を詳細に調査して、広範囲に及ぶ侵害があるかどうかを判定することもできます。
ET Intelligence Rep List: ProofPoint の Emerging Threats(ET)Intelligence Rep List と照合して、特定の IP アドレスとドメインに関連付けられた既知の脅威を一覧表示します。
ESET Threat Intelligence: ESET の脅威インテリジェンス サービスをチェックします。
4 VT Context
[VT コンテキスト] をクリックして、この IP アドレスで利用可能な VirusTotal 情報を表示します。
考慮事項
IP アドレスビューには次の制限があります。
- フィルタできるのは、このビューに表示されるイベントのみです。
- このビューでは、DNS、EDR、Webproxy のイベントタイプのみが入力されます。このビューに入力される最初の検知と最後の検知の情報も、これらのイベントタイプに限定されます。
- 汎用イベントは、キュレートされたビューには表示されません。未加工ログと UDM 検索にのみ表示されます。