Investigar um endereço IP

As Operações de segurança do Google permitem investigar endereços IP específicos para determinar se há algum na sua empresa e qual impacto esses sistemas externos podem ter tido nos seus ativos. A visualização do endereço IP do Google Security Operations é derivada das mesmas informações de segurança e dados encaminhados da sua empresa e pode ser examinada usando a visualização "Asset". Certifique-se de que você está ingerindo e normalizando dados de dispositivos em sua rede, como EDR, firewall, proxy da Web etc.

Na visualização "Recursos", você começa sua investigação dentro da empresa e olha os dados externos. Na visualização Endereço IP, você começa sua investigação fora da empresa e faz a verificação.

Para acessar a visualização Endereço IP nas Operações de segurança do Google, siga estas etapas:

  1. Na página de destino das Operações de segurança do Google, digite o endereço IP na barra de pesquisa. Clique em Pesquisar.
  2. Clique no endereço IP nos resultados para abrir a visualização Endereço IP.

Contexto do endereço IP

Visualização do endereço IP Visualização do endereço IP

1 Prevalência

As Operações de segurança do Google fornecem uma representação gráfica da precedência histórica de um determinado endereço IP. Esse gráfico pode ser usado para determinar se o endereço IP já foi acessado de dentro da empresa e pode fornecer uma indicação de que o endereço IP está associado a uma campanha específica que segmenta a empresa.

Normalmente, endereços IP menos prevalentes, a que menos recursos estão conectados, podem representar uma ameaça maior para sua empresa. Ao contrário do gráfico de Prevalência na visualização "Recursos", a figura mostra um acesso de alta prevalência na parte de cima do gráfico e acesso de baixa prevalência na parte de baixo.

Quando você mantém o ponteiro sobre uma barra no gráfico de Prevalência, o gráfico lista os recursos que acessaram o endereço IP. Devido à alta prevalência de servidores DNS, eles não são listados. Se todos os recursos forem servidores DNS, nenhum recurso será listado.

Dois controles deslizantes para o gráfico de prevalência

Ajuste o controle deslizante para focar em eventos vinculados a um intervalo específico de datas, conforme mostrado no gráfico "Prevalência".

3 Insights sobre endereço IP

Os insights sobre o endereço IP fornecem mais contexto sobre o endereço IP em investigação. É possível usá-los para determinar se um endereço IP é benigno ou malicioso. Elas também fornecem a capacidade de investigar um indicador para determinar se há um comprometimento mais amplo.

  • Lista de representantes de inteligência do ET: verificações contra a lista de representantes de inteligência sobre ameaças emergentes (ET) da ProofPoint. Lista ameaças conhecidas vinculadas a endereços IP e domínios específicos.

  • Inteligência contra ameaças ESET: verifica o serviço de inteligência contra ameaças da ESET.

Contexto 4 VT

Clique em Contexto VT para ver as informações do VirusTotal disponíveis para o endereço IP.

Considerações

A visualização do endereço IP tem as seguintes limitações:

  • Só é possível filtrar eventos que são exibidos nessa vista da propriedade.
  • Somente os tipos de evento DNS, EDR e webproxy são preenchidos nessa visualização. As primeiras e últimas informações preenchidas nessa visualização também estão limitadas a esses tipos de evento.
  • Eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles só aparecem em registros brutos e pesquisas de UDM.