调查 IP 地址
借助 Google Security Operations,您可以调查特定 IP 地址,以确定您的企业中是否存在任何 IP 地址,以及这些外部系统可能会对您的资产造成怎样的影响。Google Security Operations IP 地址视图衍生自从您的企业转发的相同安全信息和数据,并且可以使用资产视图进行检查。确保您从网络上的设备(例如 EDR、防火墙、Web 代理等)提取数据并对其进行标准化。
从“资产”视图开始,您可以从企业内部开始调查并展开调查。通过 IP 地址视图,您可以从企业外部开始调查并进行内部检查。
如需访问 Google Security Operations 中的 IP 地址视图,请完成以下步骤:
- 在 Google Security Operations 着陆页的搜索栏中输入 IP 地址。点击搜索。
- 点击搜索结果中的 IP 地址,打开 IP 地址视图。
IP 地址上下文
IP 地址视图
1 发生率
Google Security Operations 以图形方式展示给定 IP 地址的历史普遍性。此图表可用于确定之前是否从企业内部访问过该 IP 地址,并可以指示该 IP 地址是否与针对企业的特定广告系列相关联。
通常,不太常见的 IP 地址(即已关联较少的 IP 地址)可能对您的企业构成更大的威胁。与“资源”视图中的普及率图表不同,此图表顶部显示的是高普及率访问,底部显示的是低普及访问。
将指针悬停在发生率图中的柱形上时,图表会列出访问了 IP 地址的资源。由于 DNS 服务器的频繁出现,我们并未将其列出。如果所有资源都是 DNS 服务器,则不会列出任何资源。
“发生率”图表的 2 滑块
调整滑块即可聚焦于与特定日期范围相关的事件,如发生率图表中所示。
3 项 IP 地址数据分析
IP 地址数据分析可为您提供有关正在调查的 IP 地址的更多上下文。您可以使用它们来确定 IP 地址是良性的还是恶意的。此外,借助这些报告,您还可以进一步调查某个指标,以确定是否存在更广泛的危害。
ET Intelligence Rep List:根据 ProofPoint 的新兴威胁 (ET) 智能代表列表进行检查。列出与特定 IP 地址和网域关联的已知威胁。
ESET 威胁情报:检查 ESET 的威胁情报服务。
4 VT 背景信息
点击 VT 上下文以查看此 IP 地址可用的 VirusTotal 信息。
注意事项
IP 地址视图具有以下限制:
- 您只能过滤此数据视图中显示的事件。
- 此视图中仅填充了 DNS、EDR、Webproxy 事件类型。此视图中填充的首次显示和最后一次出现的信息也仅限于这些事件类型。
- 常规事件不会显示在任何精选视图中。它们仅出现在原始日志和 UDM 搜索中。