Se usó la API de Cloud Translation para traducir esta página.

Investigar un dominio

Compatible con:

Google SecOps SIEM

Las Operaciones de seguridad de Google te permiten investigar dominios específicos para determinar si hay alguno presente en tu empresa y qué impacto podrían haber tenido estos sistemas externos en tus recursos.

Para acceder a la vista Dominio en Google SecOps, completa los siguientes pasos:

Ingresa el dominio (que termina con un sufijo público conocido) o la URL en la barra de búsqueda de la página de destino de Google SecOps.
Haz clic en Buscar. Si el dominio está presente en tu empresa, aparecerá en la sección Dominios. Haz clic en el vínculo del nombre de dominio para cambiar a la vista Dominio. Si el dominio está presente en tu empresa, se mostrará información adicional en la vista Dominio. Si el dominio no está presente, la vista Dominio estará vacía.

Nota: La búsqueda en el UDM proporciona capacidades mejoradas que te permiten realizar investigaciones más exhaustivas de los eventos y las alertas en tu instancia de Google SecOps de lo que es posible con la vista de Dominio por sí sola. Para obtener más información, consulta Búsqueda en el UDM.

Contexto del sector

La vista de dominio muestra contexto sobre el dominio consultado, incluidas las referencias en los datos de registro transferidos, así como los enriquecimientos externos y de terceros de fuentes como VirusTotal.

Contexto de VT

Haz clic en VT Context para ver la información de VirusTotal disponible para este dominio.

WHOIS

Google SecOps muestra la información de WHOIS asociada al dominio registrado. Esta información puede ser útil cuando se evalúa la reputación de un dominio.

Prevalencia

Google SecOps proporciona una representación gráfica de la prevalencia histórica de un FQDN determinado y su TLD. Este gráfico se puede usar para determinar si se accedió al dominio desde la empresa anteriormente y puede proporcionar una indicación de si el dominio está asociado con una campaña en particular dirigida a la empresa. Por lo general, los dominios menos frecuentes, aquellos a los que se conectaron menos activos, pueden representar una mayor amenaza para tu empresa.

Cuando mantienes el puntero sobre una barra en el gráfico de Prevalencia, el gráfico muestra los recursos que accedieron al dominio. Debido a la alta prevalencia de los servidores DNS, no se incluyen en la lista. Si todos los recursos son servidores DNS, no se mostrará ningún recurso.

Estadísticas del dominio

Las estadísticas del dominio te brindan más contexto sobre los dominios que se investigan. Puedes usarlos para determinar si un dominio es benigno o malicioso. También te permiten investigar más a fondo un indicador para determinar si hay una vulneración más amplia.

Las estadísticas del dominio que se muestran varían según la disponibilidad de la información asociada al dominio en tu cuenta de Google SecOps, pero pueden incluir lo siguiente:

ET Intelligence Rep List: Realiza verificaciones en la lista de reputación de inteligencia de amenazas emergentes (ET) de ProofPoint y enumera las amenazas conocidas vinculadas a direcciones IP y dominios específicos.
ESET Threat Intelligence: Realiza verificaciones con el servicio de inteligencia sobre amenazas de ESET.
IPs resueltas: Son todas las direcciones IP resueltas que se vieron en tu organización para un nombre de dominio completamente calificado determinado. Por ejemplo:
- Buscar test.altostrat.com (nombre de dominio completamente calificado)
- Se muestran 2 IPs resueltas (198.51.100.81 y 203.0.113.81).
Subdominios asociados: Todos los subdominios asociados que se vieron en tu organización para un nombre de dominio completamente calificado determinado. Muchos adversarios usan el mismo dominio y subdominio para sus ataques. Por ejemplo:
- Busca sandbox.altostrat.com (nombre de dominio completamente calificado).
- Se muestran 2 subdominios (test.sandbox.altostrat.com y staging.sandbox.altostrat.com).
Dominios hermanos: Son todos los dominios hermanos que se vieron en tu organización para un nombre de dominio completamente calificado determinado en un nivel determinado. Por ejemplo:
- Busca sandbox.altostrat.com
- Se muestra 1 dominio hermano (foo.altostrat.com).

Cronograma

En la pestaña Cronograma, se enumeran todos los eventos del dominio. La columna Identificador del recurso muestra el ID del recurso. En algunos casos, el equipo de SecOps de Google reemplaza el ID del activo por la dirección IP del activo.

Consideraciones

La vista de dominio tiene las siguientes limitaciones:

En esta vista, solo se pueden mostrar 1,000 eventos.
Solo puedes filtrar los eventos que se muestran en esta vista.
En esta vista, solo se completan los tipos de eventos de DNS, EDR y proxy web. La información de la primera y la última vez que se vio que se propaga en esta vista también se limita a estos tipos de eventos.
Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en las búsquedas de UDM y en los registros sin procesar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.