调查 IP 地址
Google Security Operations 可让您调查特定 IP 地址以确定 以及对外部系统的影响 可能对您的素材资源造成的影响Google Security Operations IP 地址视图衍生自 从您的企业和 可以使用“素材资源”视图进行检查确保从网络上的设备(例如 EDR、防火墙、Web 代理等)提取和规范化数据。
从“资产”视图开始,您可以从企业内部开始调查并展开调查。从 IP 地址视图中,您可以从企业外部开始调查,然后查看。
如需在 Google 安全运营中心内访问 IP 地址视图,请完成以下步骤:
- 在 Google Security Operations 着陆页上,在搜索栏中输入 IP 地址。点击搜索。
- 点击结果中的 IP 地址,打开 IP 地址视图。
IP 地址上下文
“IP 地址”视图
1 发生率
Google Security Operations 以图形形式呈现了给定 IP 地址的历史普及率。此图表可用于确定 该 IP 地址之前在企业内部访问过, 指出 IP 地址是否与特定 广告系列。
通常,不太常见的 IP 地址(即已关联较少的 IP 地址)可能对您的企业构成更大的威胁。不同于普及率 图表,此图显示了 “普及率低”位于图表顶部。
将指针悬停在发生率图表中的条形上时,图表 列出访问过 IP 地址的资产。由于 DNS 的盛行 不会列出。如果所有资产都是 DNS 服务器, 。
2 普及率图表的滑块
调整滑块即可聚焦于与特定日期范围相关的活动,如图所示 。
3 IP 地址数据洞察
IP 地址分析结果为您提供了更多有关所调查 IP 地址的背景信息。您可以使用它们来确定 IP 地址是良性还是恶意。还能让您进一步调查 以确定是否存在更广泛的危害。
ET Intelligence Rep List:检查 ProofPoint 的新兴威胁 (ET) 情报代表名单。列出与特定 IP 地址关联的已知威胁, 网域。
ESET 威胁 情报: 检查 ESET 的威胁情报服务。
4 VT 情境
点击 VT Context(VT 上下文),查看此 IP 地址的 VirusTotal 信息。
注意事项
IP 地址视图具有以下限制:
- 您只能过滤此视图中显示的事件。
- 此视图中仅填充了 DNS、EDR、Webproxy 事件类型。第一个 此视图中填充的可见和上次出现信息也有限 这些事件类型
- 常规事件不会出现在任何精选视图中。它们仅会显示在原始日志和 UDM 搜索中。