Se usó la API de Cloud Translation para traducir esta página.

Investigar un dominio

Compatible con:

SecOps de Google SIEM .

Google Security Operations te permite investigar dominios específicos para determinar si que hay en tu empresa y qué impacto tienen que podrían haber tenido en tus recursos.

Para acceder a la vista Domain en Google Security Operations, sigue estos pasos:

Ingresa el dominio (que termina con un sufijo público conocido) o la URL en la búsqueda de la página de destino de Google Security Operations.
Haz clic en Buscar. Si el dominio está en tu empresa, aparecerá en la lista en la sección Dominios. Haga clic en el vínculo del nombre de dominio al que desea ir Domain. Si el dominio está presente dentro de tu empresa, los permisos adicionales se muestra la información en la vista Dominio. Si el dominio no está presente, La vista Domain estará vacía.

Nota: La búsqueda de UDM brinda funciones mejoradas que te permiten realizar investigaciones más exhaustivas de los eventos y las alertas en su instancia de Google Security Operations de la que es posible si se usa solo la vista Domain. Para para obtener más información, consulta Búsqueda de UDM.

Contexto del sector

La vista de dominio muestra el contexto sobre el dominio consultado para incluir referencias en datos de registro transferidos, además de enriquecimientos externos y de terceros de fuentes como VirusTotal.

Contexto de VT

Haz clic en VT Context para ver la información de VirusTotal disponible sobre esta dominio.

WHOIS

Google Security Operations muestra el WHOIS información asociada con el dominio registrado. Esta información se puede son útiles cuando se evalúa la reputación de un dominio.

Prevalencia

Google Security Operations ofrece una representación gráfica del la prevalencia de un FQDN determinado y su TLD. Este gráfico se puede usar para determinar si se accedió antes al dominio desde la empresa y puede proporcionan una indicación de si el dominio está asociado con un orientada a la empresa. Por lo general, los dominios menos frecuentes, aquellos que a los que menos activos se conectaron, podría representar una mayor amenaza para tus .

Cuando mantienes el puntero sobre una barra en el gráfico Prevalencia, enumera los recursos que accedieron al dominio. Debido a la alta prevalencia de DNS, servidores, no aparecen en la lista. Si todos los recursos son servidores DNS, no se en la lista.

Estadísticas de dominio

Las estadísticas de dominios te proporcionan más contexto sobre los dominios que están en investigación. Puedes utilizarlas para determinar si un dominio es benigno o malicioso. También te permiten investigar más a fondo un indicador para determinar si hay un modelo más amplio de seguridad en la nube.

Las estadísticas de los dominios que se muestran varían en función de la disponibilidad de la información. asociada con el dominio en tu cuenta de Google Security Operations, pero también incluyen lo siguiente:

Lista de representantes de ET Intelligence: Compara las amenazas emergentes de ProofPoint (ET) Lista de representantes de información y listas de amenazas conocidas vinculadas a IP específicas y dominios.
ESET Threat Intelligence: Realiza verificaciones en el servicio de inteligencia de amenazas de ESET.
IP resueltas: Todas las direcciones IP resueltas que se vieron en tu de Google para un nombre de dominio completamente calificado. Por ejemplo:
- Busca test.altostrat.com (nombre de dominio completamente calificado)
- Se muestran 2 IP resueltas (198.51.100.81 y 203.0.113.81)
Subdominios asociados: son todos los subdominios asociados que se vieron en su organización para un determinado nombre de dominio completamente calificado. Muchos adversarios usan el mismo dominio y subdominio para sus ataques. Por ejemplo:
- Busca sandbox.altostrat.com (nombre de dominio completamente calificado).
- 2 subdominios (test.sandbox.altostrat.com y staging.sandbox.altostrat.com) se muestran
Dominios del mismo nivel: Son todos los dominios del mismo nivel que se vieron en su organización para un nombre de dominio completamente calificado en un nivel determinado. Por ejemplo:
- Busca sandbox.altostrat.com
- Se muestra 1 dominio del mismo nivel (foo.altostrat.com)

Cronograma

En la pestaña Cronograma, se muestran todos los eventos del dominio. En la columna Identificador de activo, se muestra el ID del activo. En una pequeña cantidad de casos, Google Security Operations reemplaza el ID del activo por la dirección IP del activo.

Consideraciones

La vista de dominio tiene las siguientes limitaciones:

En esta vista, solo se pueden mostrar 1,000 eventos.
Solo puedes filtrar los eventos que se muestran en esta vista.
En esta vista, solo se propagan los tipos de eventos DNS, EDR y Webproxy. También se limita la información sobre el primer y el último caso que se muestra en esta vista. a estos tipos de eventos.
Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en en las búsquedas de UDM y registros sin procesar.