Esta página se ha traducido con Cloud Translation API.

Investigar un dominio

Disponible en:

SecOps de Google SIEM

Google Security Operations te permite investigar dominios específicos para determinar si hay alguno en tu empresa y qué impacto podrían haber tenido estos sistemas externos en tus recursos.

Para acceder a la vista Dominio en Google SecOps, sigue estos pasos:

Escriba el dominio (que termine en un sufijo público conocido) o la URL en la barra de búsqueda de la página de destino de Google SecOps.

Nota: La lista de datos de sufijos públicos de publicsuffix.org incluye tanto dominios públicos como privados como sufijos públicos. Sin embargo, esta función no trata un dominio privado como un sufijo público. Por ejemplo, si us.com aparece en la lista de dominios privados, al llamar a la función con foo.us.com, se devuelve us.com, que se interpreta como el sufijo público com más la etiqueta anterior us, en lugar de foo.us.com (que trataría us.com como un dominio privado).
Haz clic en Buscar. Si el dominio está presente en tu empresa, se mostrará en la sección Dominios. Haga clic en el enlace del nombre de dominio para cambiar a la vista Dominio. Si el dominio está presente en tu empresa, se mostrará información adicional en la vista Dominio. Si el dominio no está presente, la vista Dominio estará vacía.

Nota: La búsqueda de UDM ofrece funciones mejoradas que te permiten llevar a cabo investigaciones más exhaustivas de los eventos y las alertas de tu instancia de Google SecOps que con la vista Dominio. Para obtener más información, consulta Búsqueda de UDM.

Contexto de dominio

La vista de dominio muestra el contexto del dominio consultado, incluidas las referencias en los datos de registro ingeridos, así como los enriquecimientos externos y de terceros de fuentes como VirusTotal.

Contexto de VT

Haz clic en Contexto de VT para ver la información de VirusTotal disponible sobre este dominio.

WHOIS

Google SecOps muestra la información de WHOIS asociada al dominio registrado. Esta información puede ser útil para evaluar la reputación de un dominio.

Prevalencia

Google SecOps proporciona una representación gráfica de la prevalencia histórica de un FQDN y su TLD. Este gráfico se puede usar para determinar si se ha accedido al dominio desde la empresa anteriormente y puede indicar si el dominio está asociado a una campaña concreta dirigida a la empresa. Por lo general, los dominios menos frecuentes, aquellos a los que se han conectado menos recursos, pueden representar una mayor amenaza para tu empresa.

Cuando coloca el puntero sobre una barra del gráfico Prevalencia, el gráfico muestra los recursos que han accedido al dominio. Debido a la alta prevalencia de los servidores DNS, no se incluyen en la lista. Si todos los recursos son servidores DNS, no se mostrará ninguno.

Estadísticas de dominio

Los datos valiosos de los dominios te proporcionan más contexto sobre los dominios que se están investigando. Puedes usarlos para determinar si un dominio es benigno o malicioso. También te permiten investigar más a fondo un indicador para determinar si hay una brecha de seguridad más amplia.

Los datos valiosos del dominio que se muestran varían en función de la disponibilidad de la información asociada al dominio en tu cuenta de Google SecOps, pero pueden incluir lo siguiente:

Lista de reputación de inteligencia de amenazas emergentes: comprueba la lista de reputación de inteligencia de amenazas emergentes (ET) de ProofPoint y las listas de amenazas conocidas vinculadas a direcciones IP y dominios específicos.
ESET Threat Intelligence: comprueba el servicio de inteligencia frente a amenazas de ESET.
IPs resueltas: todas las direcciones IP resueltas que se han visto en tu organización para un nombre de dominio completo determinado. Por ejemplo:
- Busca test.altostrat.com (nombre de dominio completo).
- Se muestran 2 IPs resueltas (198.51.100.81 y 203.0.113.81).
Subdominios asociados: todos los subdominios asociados que se han visto en tu organización para un nombre de dominio completo determinado. Muchos adversarios usan el mismo dominio y subdominio para sus ataques. Por ejemplo:
- Busca sandbox.altostrat.com (nombre de dominio completo).
- Se muestran dos subdominios (test.sandbox.altostrat.com y staging.sandbox.altostrat.com).
Dominios hermanos: todos los dominios hermanos que se han visto en tu organización para un nombre de dominio completo determinado en un nivel concreto. Por ejemplo:
- Busca sandbox.altostrat.com.
- Se muestra un dominio del mismo nivel (foo.altostrat.com).

Cronología

En la pestaña Cronología se muestran todos los eventos del dominio. En la columna Identificador de recurso se muestra el ID del recurso. En un número reducido de casos, Google SecOps sustituye el ID de recurso por la dirección IP del recurso.

Cuestiones importantes

La vista de dominio tiene las siguientes limitaciones:

En esta vista solo se pueden mostrar 1000 eventos.
Solo puedes filtrar los eventos que se muestran en esta vista.
En esta vista solo se rellenan los tipos de eventos DNS, EDR y Webproxy. La información sobre la primera y la última vez que se ha visto que se muestra en esta vista también se limita a estos tipos de eventos.
Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en los registros sin procesar y en las búsquedas de UDM.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.