Questa pagina è stata tradotta dall'API Cloud Translation.

Indagine su un dominio

Supportato in:

Google secops SIEM

Google Security Operations ti consente di esaminare domini specifici per determinare se sono presenti nella tua azienda e quale impatto potrebbero aver avuto questi sistemi esterni sulle tue risorse.

Per accedere alla visualizzazione Dominio in Google SecOps, completa i seguenti passaggi:

Inserisci il dominio (che termina con un suffisso pubblico noto) o l'URL nella barra di ricerca della pagina di destinazione di Google SecOps.
Fai clic su Cerca. Se il dominio è presente nella tua organizzazione, è elencato nella sezione Domini. Fai clic sul link del nome di dominio per passare alla visualizzazione Dominio. Se il dominio è presente nella tua impresa, vengono visualizzate ulteriori informazioni nella visualizzazione Dominio. Se il dominio non è presente, la visualizzazione Dominio sarà vuota.

Nota: la ricerca UDM offre funzionalità avanzate che ti consentono di condurre indagini più approfondite sugli eventi e sugli avvisi all'interno della tua istanza di Google SecOps rispetto a quanto possibile utilizzando la sola visualizzazione Dominio. Per maggiori informazioni, consulta Ricerca UDM.

Contesto del dominio

La visualizzazione del dominio mostra il contesto del dominio sottoposto a query, in modo da includere i riferimenti nei dati di log inseriti, nonché gli arricchimenti esterni e di terze parti provenienti da fonti come VirusTotal.

Contesto VT

Fai clic su Contesto VT per visualizzare le informazioni di VirusTotal disponibili per questo dominio.

WHOIS

Google SecOps mostra le informazioni WHOIS associate al dominio registrato. Queste informazioni possono essere utili per valutare la reputazione di un dominio.

Prevalenza

Google SecOps fornisce una rappresentazione grafica della prevalenza storica di un determinato FQDN e del relativo TLD. Questo grafico può essere utilizzato per determinare se è stato eseguito l'accesso al dominio dall'interno dell'azienda in precedenza e può fornire un'indicazione se il dominio è associato a una particolare campagna che ha come target l'azienda. In genere, i domini meno diffusi, a cui sono collegati meno asset, potrebbero rappresentare una minaccia maggiore per la tua azienda.

Quando passi il puntatore sopra una barra del grafico Prevalenza, il grafico elenca gli asset che hanno eseguito l'accesso al dominio. A causa dell'elevata prevalenza dei server DNS, non sono elencati. Se tutti gli asset sono server DNS, non viene visualizzato alcun asset.

Approfondimenti sul dominio

Gli approfondimenti sui domini forniscono maggiori informazioni sui domini oggetto di indagine. Puoi utilizzarli per determinare se un dominio è benigno o dannoso. Inoltre, ti consentono di analizzare ulteriormente un indicatore per determinare se esiste un compromesso più ampio.

Gli approfondimenti sul dominio visualizzati variano in base alla disponibilità delle informazioni associate al dominio all'interno del tuo account Google SecOps, ma potrebbero includere quanto segue:

Elenco di reputazione di ET Intelligence: esegue controlli in base all'elenco di reputazione di Emerging Threats (ET) Intelligence di ProofPoint ed elenca le minacce note associate a indirizzi IP e domini specifici.
ESET Threat Intelligence: Esegue controlli rispetto al servizio di threat intelligence di ESET.
IP risolti:tutti gli indirizzi IP risolti visualizzati nella tua organizzazione per un determinato nome di dominio completo. Ad esempio:
- Cerca test.altostrat.com (nome di dominio completo)
- Vengono visualizzati due IP risolti (198.51.100.81 e 203.0.113.81)
Sottodomini associati:tutti i sottodomini associati visualizzati nella tua organizzazione per un determinato nome di dominio completo. Molti avversari utilizzano lo stesso dominio e sottodominio per i loro attacchi. Ad esempio:
- Cerca sandbox.altostrat.com (nome di dominio completo)
- Vengono visualizzati 2 sottodomini (test.sandbox.altostrat.com e staging.sandbox.altostrat.com)
Domini secondari:tutti i domini secondari visualizzati nella tua organizzazione per un determinato nome di dominio completo a un determinato livello. Ad esempio:
- Cerca sandbox.altostrat.com
- Viene visualizzato un dominio di pari livello (foo.altostrat.com)

Cronologia

La scheda Cronologia elenca tutti gli eventi per il dominio. La colonna Identificatore asset mostra l'ID risorsa. In un numero limitato di casi, Google SecOps sostituisce l'ID risorsa con l'indirizzo IP dell'asset.

Considerazioni

La visualizzazione del dominio presenta le seguenti limitazioni:

In questa visualizzazione possono essere visualizzati solo 1000 eventi.
Puoi filtrare solo gli eventi visualizzati in questa visualizzazione.
In questa visualizzazione vengono compilati solo i tipi di eventi DNS, EDR e Webproxy. Le informazioni relative alla prima e all'ultima visualizzazione inserite in questa visualizzazione sono limitate anche a questi tipi di eventi.
Gli eventi generici non vengono visualizzati in nessuna delle visualizzazioni curate. Vengono visualizzati solo nei log grezzi e nelle ricerche UDM.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.