Halaman ini diterjemahkan oleh Cloud Translation API.

Menyelidiki domain

Didukung di:

Google secops SIEM

Google Security Operations memungkinkan Anda menyelidiki domain tertentu untuk menentukan apakah ada domain yang berada dalam perusahaan Anda, dan dampak apa yang mungkin ditimbulkan oleh sistem eksternal ini terhadap aset Anda.

Untuk mengakses tampilan Domain di Google SecOps, selesaikan langkah-langkah berikut:

Masukkan domain (yang diakhiri dengan akhiran publik yang diketahui) atau URL di kotak penelusuran di halaman landing Google SecOps.
Klik Telusuri. Jika domain ada di perusahaan Anda, domain tersebut akan tercantum di bagian Domain. Klik link nama domain untuk beralih ke tampilan Domain. Jika domain ada dalam perusahaan Anda, informasi tambahan akan ditampilkan di tampilan Domain. Jika domain tidak ada, tampilan Domain akan kosong.

Catatan: Penelusuran UDM memberikan kemampuan yang ditingkatkan yang memungkinkan Anda melakukan penyelidikan yang lebih menyeluruh terhadap peristiwa dan pemberitahuan dalam instance Google SecOps Anda dibandingkan dengan yang dapat dilakukan hanya dengan menggunakan tampilan Domain. Untuk mengetahui informasi selengkapnya, lihat Penelusuran UDM.

Konteks domain

Tampilan domain menampilkan konteks tentang domain yang dikueri, untuk menyertakan referensi dalam data log yang di-ingest serta pengayaan pihak ketiga dan eksternal dari sumber seperti VirusTotal.

Konteks VT

Klik Konteks VT untuk melihat informasi VirusTotal yang tersedia untuk domain ini.

WHOIS

Google SecOps menampilkan informasi WHOIS yang terkait dengan domain terdaftar. Informasi ini dapat berguna saat menilai reputasi domain.

Prevalensi

Google SecOps memberikan representasi grafis tentang prevalensi historis FQDN tertentu dan TLD-nya. Grafik ini dapat digunakan untuk menentukan apakah domain telah diakses dari dalam perusahaan sebelumnya, dan dapat memberikan indikasi apakah domain tersebut terkait dengan kampanye tertentu yang menargetkan perusahaan. Biasanya, domain yang kurang umum, yang terhubung ke lebih sedikit aset, mungkin menimbulkan ancaman yang lebih besar bagi perusahaan Anda.

Saat Anda menahan kursor di atas batang dalam grafik Prevalensi, grafik mencantumkan aset yang mengakses domain. Karena prevalensi server DNS yang tinggi, server tersebut tidak tercantum. Jika semua aset adalah server DNS, tidak ada aset yang dicantumkan.

Insight domain

Insight domain memberi Anda konteks yang lebih lengkap tentang domain yang sedang diselidiki. Anda dapat menggunakannya untuk menentukan apakah suatu domain aman atau berbahaya. Indikator ini juga memungkinkan Anda menyelidiki lebih lanjut indikator untuk menentukan apakah ada kompromi yang lebih luas.

Insight domain yang ditampilkan bervariasi bergantung pada ketersediaan informasi yang terkait dengan domain dalam akun Google SecOps Anda, tetapi mungkin mencakup hal berikut:

ET Intelligence Rep List: Memeriksa Emerging Threats (ET) Intelligence Rep List ProofPoint dan mencantumkan ancaman yang diketahui terkait dengan alamat IP dan domain tertentu.
ESET Threat Intelligence: Memeriksa terhadap layanan threat intelligence ESET.
IP yang di-resolve: Semua alamat IP yang di-resolve yang telah terlihat di organisasi Anda untuk Nama Domain yang Memenuhi Syarat sepenuhnya tertentu. Contoh:
- Telusuri test.altostrat.com (Nama Domain yang Sepenuhnya Memenuhi Syarat)
- 2 IP yang diselesaikan (198.51.100.81 dan 203.0.113.81) ditampilkan
Subdomain terkait: Semua subdomain terkait yang telah terlihat di organisasi Anda untuk Nama Domain yang Sepenuhnya Memenuhi Syarat tertentu. Banyak penyerang menggunakan domain dan subdomain yang sama untuk serangan mereka. Contoh:
- Telusuri sandbox.altostrat.com (Nama Domain yang Sepenuhnya Memenuhi Syarat)
- 2 subdomain (test.sandbox.altostrat.com dan staging.sandbox.altostrat.com) ditampilkan
Domain Turunan: Semua domain turunan yang telah terlihat di organisasi Anda untuk Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) tertentu pada tingkat tertentu. Misalnya:
- Telusuri sandbox.altostrat.com
- 1 domain selevel (foo.altostrat.com) ditampilkan

Linimasa

Tab Linimasa mencantumkan semua peristiwa untuk domain. Kolom ID aset menampilkan ID aset. Dalam sejumlah kecil kasus, Google SecOps mengganti ID aset dengan alamat IP aset.

Pertimbangan

Tampilan domain memiliki batasan berikut:

Hanya 1.000 peristiwa yang dapat ditampilkan dalam tampilan ini.
Anda hanya dapat memfilter peristiwa yang ditampilkan dalam tampilan ini.
Hanya jenis peristiwa DNS, EDR, dan Webproxy yang diisi dalam tampilan ini. Informasi pertama kali terlihat dan terakhir kali terlihat yang diisi dalam tampilan ini juga dibatasi untuk jenis peristiwa ini.
Peristiwa generik tidak muncul di tampilan pilihan mana pun. Peristiwa ini hanya muncul di log mentah dan penelusuran UDM.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.