调查 IP 地址

借助 Chronicle,您可以调查特定的 IP 地址,以确定您的企业是否存在任何 IP 地址,以及这些外部系统可能对您的资产产生的影响。“Chronicle IP 地址”视图派生自企业转发的同一安全信息和数据,并且可以使用“资产”视图进行检查。确保从网络上的设备(例如 EDR、防火墙、Web 代理等)提取和规范化数据。

从“资产”视图开始,您可以从企业内部开始调查并展开调查。从“IP 地址”视图中,您可以从企业外部开始调查,然后查看。

如需访问 Chronicle 中的“IP 地址”视图,请完成以下步骤:

  1. 在 Chronicle 界面顶部的搜索栏中输入您需要调查的 IP 地址。
  2. 点击搜索。 您将进入“IP 地址”视图。

IP 地址上下文

“IP 地址”视图 “IP 地址”视图

1 资产

显示企业内与特定 IP 地址关联的唯一资产,包括资产首次和最后一次访问此网域的摘要。

2 普及率

Chronicle 以图形形式呈现了给定 IP 地址的历史普及率。此图表可用于确定之前是否从企业内部访问过该 IP 地址,并指示该 IP 地址是否与针对企业的特定广告系列相关联。

通常,不太常见的 IP 地址(即已关联较少的 IP 地址)可能对您的企业构成更大的威胁。与“资产”视图中的普及率图表不同,此图在图表顶部显示高普及率,在底部显示低普及率。

3 IP 地址数据洞察

IP 地址分析结果为您提供了更多有关所调查 IP 地址的背景信息。您可以使用它们来确定 IP 地址是良性还是恶意。还可以让您进一步调查指示因素,以确定是否存在更大的危害。

  • VirusTotal Insights:VirusTotal 的上下文信息摘要

  • ET 情报代表名单:根据 ProofPoint 的新兴威胁 (ET) 智能代表名单进行检查。列出与特定 IP 地址和网域相关的已知威胁。

  • ESET 威胁情报:根据 ESET 的威胁情报服务进行检查。