Diese Seite wurde von der Cloud Translation API übersetzt.

Domain prüfen

Unterstützt in:

Google SecOps SIEM

Mit Google Security Operations können Sie bestimmte Domains untersuchen, um festzustellen, ob sie in Ihrem Unternehmen vorhanden sind und welche Auswirkungen diese externen Systeme auf Ihre Assets haben könnten.

So rufen Sie die Ansicht Domain in Google SecOps auf:

Geben Sie die Domain (mit einem bekannten öffentlichen Suffix) oder URL in die Suchleiste auf der Google SecOps-Landingpage ein.
Klicken Sie auf Suchen. Wenn die Domain in Ihrem Unternehmen vorhanden ist, wird sie unter der Überschrift Domains aufgeführt. Klicken Sie auf den Link zum Domainnamen, um zur Ansicht Domain zu wechseln. Wenn die Domain in Ihrem Unternehmen vorhanden ist, werden in der Ansicht Domain zusätzliche Informationen angezeigt. Wenn die Domain nicht vorhanden ist, ist die Ansicht Domain leer.

Hinweis :Die UDM-Suche bietet erweiterte Funktionen, mit denen Sie Ereignisse und Benachrichtigungen in Ihrer Google SecOps-Instanz gründlicher untersuchen können, als es allein mit der Ansicht Domain möglich ist. Weitere Informationen finden Sie unter UDM-Suche.

Domainkontext

In der Domainansicht wird Kontext zur abgefragten Domain angezeigt, einschließlich Verweisen in aufgenommenen Logdaten sowie Drittanbieter- und externen Anreicherungen aus Quellen wie VirusTotal.

VT-Kontext

Klicken Sie auf VT-Kontext, um die für diese Domain verfügbaren VirusTotal-Informationen aufzurufen.

WHOIS

In Google SecOps werden die WHOIS-Informationen angezeigt, die mit der registrierten Domain verknüpft sind. Diese Informationen können bei der Bewertung des Rufs einer Domain hilfreich sein.

Verbreitung

Google SecOps bietet eine grafische Darstellung der historischen Häufigkeit eines bestimmten FQDN und seiner TLD. Anhand dieses Diagramms lässt sich feststellen, ob auf die Domain schon einmal innerhalb des Unternehmens zugegriffen wurde. Es kann auch Aufschluss darüber geben, ob die Domain mit einer bestimmten Kampagne verknüpft ist, die auf das Unternehmen ausgerichtet ist. Weniger verbreitete Domains, mit denen weniger Assets verbunden sind, stellen in der Regel eine größere Bedrohung für Ihr Unternehmen dar.

Wenn Sie den Mauszeiger über einen Balken im Diagramm Häufigkeit bewegen, werden die Assets aufgelistet, die auf die Domain zugegriffen haben. Aufgrund der hohen Verbreitung von DNS-Servern werden sie nicht aufgeführt. Wenn alle Assets DNS-Server sind, werden keine Assets aufgeführt.

Domainstatistiken

Domaininformationen liefern Ihnen mehr Kontext zu den untersuchten Domains. Sie können damit feststellen, ob eine Domain gutartig oder schädlich ist. Außerdem können Sie einen Indikator genauer untersuchen, um festzustellen, ob es sich um einen umfassenderen Angriff handelt.

Die angezeigten Domainstatistiken variieren je nach Verfügbarkeit von Informationen, die mit der Domain in Ihrem Google SecOps-Konto verknüpft sind. Sie können Folgendes umfassen:

ET Intelligence Rep List:Es wird anhand der Emerging Threats (ET) Intelligence Rep List von ProofPoint geprüft und bekannte Bedrohungen aufgeführt, die mit bestimmten IP-Adressen und Domains verknüpft sind.
ESET Threat Intelligence:Prüft anhand des Threat Intelligence-Dienstes von ESET.
Aufgelöste IPs:Alle aufgelösten IP-Adressen, die in Ihrer Organisation für einen bestimmten vollständig qualifizierten Domainnamen verwendet wurden. Beispiel:
- Nach „test.altostrat.com“ suchen (voll qualifizierter Domainname)
- Es werden zwei aufgelöste IP-Adressen angezeigt: 198.51.100.81 und 203.0.113.81.
Zugehörige Subdomains:Alle zugehörigen Subdomains, die in Ihrer Organisation für einen bestimmten voll qualifizierten Domainnamen beobachtet wurden. Viele Angreifer verwenden für ihre Angriffe dieselbe Domain und Subdomain. Beispiel:
- Suchen Sie nach sandbox.altostrat.com (voll qualifizierter Domainname).
- Es werden zwei Subdomains angezeigt: „test.sandbox.altostrat.com“ und „staging.sandbox.altostrat.com“.
Geschwisterdomains:Alle Geschwisterdomains, die in Ihrer Organisation für einen bestimmten voll qualifizierten Domainnamen auf einer bestimmten Ebene gefunden wurden. Beispiel:
- Nach sandbox.altostrat.com suchen
- 1 Domain auf gleicher Ebene (foo.altostrat.com) wird angezeigt.

Zeitachse

Auf dem Tab Zeitachse werden alle Ereignisse für die Domain aufgeführt. In der Spalte Asset-Kennung wird die Asset-ID angezeigt. In einigen Fällen ersetzt Google SecOps die Asset-ID durch die IP-Adresse des Assets.

Hinweise

Für die Domainansicht gelten die folgenden Einschränkungen:

In dieser Ansicht können nur 1.000 Ereignisse angezeigt werden.
Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
In dieser Ansicht werden nur die Ereignistypen „DNS“, „EDR“ und „Webproxy“ ausgefüllt. Die Informationen zum ersten und letzten Aufruf in dieser Ansicht sind ebenfalls auf diese Ereignistypen beschränkt.
Allgemeine Ereignisse werden in keiner der kuratierten Ansichten angezeigt. Sie werden nur in Rohlog- und UDM-Suchanfragen angezeigt.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten