Esta página foi traduzida pela API Cloud Translation.

Investigar um endereço IP

O Chronicle permite que você investigue endereços IP específicos para determinar se há algum na sua empresa e o impacto que esses sistemas externos podem ter sobre seus recursos. A visualização de endereço IP do Chronicle é derivada das mesmas informações de segurança e dados encaminhados da sua empresa e pode examinar usando a visualização "Asset". Verifique se você está ingerindo e normalizando dados de dispositivos na sua rede, como EDR, firewall, proxy da Web etc.

Na visualização de recursos, você começa a investigação dentro da sua empresa e olha para fora. Na visualização de Endereço IP, você inicia a investigação de fora da sua empresa e faz a verificação.

Para acessar a visualização de endereço IP no Chronicle, siga estas etapas:

Na página de destino do Chronicle, digite o endereço IP na barra de pesquisa. Clique em Pesquisar.
Clique no endereço IP nos resultados para abrir a visualização de Endereço IP.

Contexto do endereço IP

Visualização de endereço IP

1 Prevalência

O Chronicle fornece uma representação gráfica da prevalência histórica de um determinado endereço IP. Esse gráfico pode ser usado para determinar se o endereço IP foi acessado dentro da empresa antes e pode fornecer uma indicação se o endereço IP está associado a uma campanha específica que visa a empresa.

Normalmente, endereços IP menos prevalentes, aos quais menos recursos estão conectados, podem representar uma ameaça maior para sua empresa. Ao contrário do gráfico Prevalência na visualização "Recursos", este gráfico mostra um acesso de alta prevalência na parte de cima e um acesso de baixa prevalência na parte de baixo.

Quando você mantém o ponteiro sobre uma barra no gráfico Prevalência, o gráfico lista os recursos que acessaram o endereço IP. Devido à alta prevalência de servidores DNS, eles não são listados. Se todos os recursos forem servidores DNS, nenhum recurso será listado.

Controle deslizante para o gráfico de Prevalência

Ajuste o controle deslizante para se concentrar em eventos vinculados a um intervalo específico de datas, conforme mostrado no gráfico "Prevalência".

3 Insights sobre endereços IP

Os insights de endereço IP fornecem mais contexto sobre o endereço IP em investigação. Você pode usá-los para determinar se um endereço IP é benigno ou malicioso. Elas também permitem que você investigue melhor um indicador para determinar se há um comprometimento mais amplo.

Lista de representantes de inteligência do ET: verifica a lista de representantes de inteligência de ameaças emergentes (ET) da ProofPoint. Lista as ameaças conhecidas vinculadas a endereços IP e domínios específicos.
ESET Threat Intelligence: verifica o serviço de inteligência contra ameaças do ESET.

4 VT Contexto

Clique em Contexto do VT para ver as informações do VirusTotal disponíveis para esse endereço IP.

Considerações

A visualização de endereço IP tem as seguintes limitações:

Só é possível filtrar eventos que são mostrados nesta visualização.
Somente os tipos de evento DNS, EDR e Webproxy são preenchidos nessa visualização. As informações da primeira e da última visualização preenchidas nessa visualização também são limitadas a esses tipos de evento.
Eventos genéricos não aparecem em nenhuma das vistas selecionadas. Eles aparecem apenas nas pesquisas de registros brutos e UDMs.