Esta página foi traduzida pela API Cloud Translation.

Investigue um domínio

Compatível com:

Google secops SIEM

As Operações de segurança da Google permitem-lhe investigar domínios específicos para determinar se algum está presente na sua empresa e que impacto estes sistemas externos podem ter tido nos seus recursos.

Para aceder à vista Domínio no Google SecOps, conclua os seguintes passos:

Introduza o domínio (que termina com um sufixo público conhecido) ou o URL na barra de pesquisa na página de destino do Google SecOps.

Nota: a lista de dados de sufixos públicos de publicsuffix.org inclui domínios públicos e privados como sufixos públicos. No entanto, esta função não trata um domínio privado como um sufixo público. Por exemplo, se us.com estiver listado como um domínio privado, chamar a função com foo.us.com devolve us.com, interpretado como o sufixo público com mais a etiqueta anterior us, em vez de foo.us.com (que trataria us.com como um domínio privado).
Clique em Pesquisar. Se o domínio estiver presente na sua empresa, é apresentado no cabeçalho Domínios. Clique no link do nome do domínio para aceder à vista Domínio. Se o domínio estiver presente na sua empresa, são apresentadas informações adicionais na vista Domínio. Se o domínio não estiver presente, a vista Domínio fica vazia.

Nota: a pesquisa UDM oferece capacidades melhoradas que lhe permitem realizar investigações mais exaustivas dos eventos e alertas na sua instância do Google SecOps do que é possível usando apenas a vista Domínio. Para mais informações, consulte Pesquisa UDM.

Contexto do domínio

A vista de domínio apresenta contexto sobre o domínio consultado, incluindo referências nos dados de registo carregados, bem como enriquecimentos externos e de terceiros de origens como o VirusTotal.

VT Context

Clique em Contexto do VT para ver as informações do VirusTotal disponíveis para este domínio.

WHOIS

O Google SecOps apresenta as informações do WHOIS associadas ao domínio registado. Estas informações podem ser úteis ao avaliar a reputação de um domínio.

Prevalência

O Google SecOps fornece uma representação gráfica da prevalência histórica de um determinado FQDN e do respetivo TLD. Este gráfico pode ser usado para determinar se o domínio foi acedido anteriormente a partir da empresa e pode fornecer uma indicação de se o domínio está associado a uma campanha específica que segmenta a empresa. Normalmente, os domínios menos prevalentes, aos quais foram associados menos recursos, podem representar uma ameaça maior para a sua empresa.

Quando passa o ponteiro do rato sobre uma barra no gráfico Prevalência, o gráfico apresenta os recursos que acederam ao domínio. Devido à elevada prevalência de servidores DNS, estes não são apresentados. Se todos os recursos forem servidores DNS, não são apresentados recursos.

Estatísticas do domínio

As estatísticas de domínios oferecem-lhe mais contexto acerca dos domínios sob investigação. Pode usá-los para determinar se um domínio é benigno ou malicioso. Também permitem investigar mais detalhadamente um indicador para determinar se existe um comprometimento mais amplo.

As estatísticas do domínio apresentadas variam consoante a disponibilidade de informações associadas ao domínio na sua conta do Google SecOps, mas podem incluir o seguinte:

Lista de representantes de inteligência de ameaças emergentes (ET): verifica com base na lista de representantes de inteligência de ameaças emergentes (ET) da ProofPoint e apresenta ameaças conhecidas associadas a endereços IP e domínios específicos.
ESET Threat Intelligence: verifica com base no serviço de informações sobre ameaças da ESET.
IPs resolvidos: todos os endereços IP resolvidos que foram vistos na sua organização para um determinado nome do domínio totalmente qualificado. Por exemplo:
- Pesquise test.altostrat.com (nome do domínio totalmente qualificado)
- São apresentados 2 IPs resolvidos (198.51.100.81 e 203.0.113.81)
Subdomínios associados: todos os subdomínios associados que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Muitos adversários usam o mesmo domínio e subdomínio para os respetivos ataques. Por exemplo:
- Pesquise sandbox.altostrat.com (nome do domínio totalmente qualificado)
- São apresentados 2 subdomínios (test.sandbox.altostrat.com e staging.sandbox.altostrat.com)
Domínios irmãos: todos os domínios irmãos que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado num determinado nível. Por exemplo:
- Pesquise sandbox.altostrat.com
- É apresentado 1 domínio relacionado (foo.altostrat.com)

Linha cronológica

O separador Linha cronológica apresenta uma lista de todos os eventos do domínio. A coluna Identificador do recurso mostra o ID do recurso. Num pequeno número de casos, o Google SecOps substitui o ID do recurso pelo endereço IP do recurso.

Considerações

A vista de domínio tem as seguintes limitações:

Nesta vista, só é possível apresentar 1000 eventos.
Só pode filtrar eventos apresentados nesta vista.
Apenas os tipos de eventos DNS, EDR e Webproxy são preenchidos nesta vista. As informações de primeira visualização e última visualização preenchidas nesta vista também estão limitadas a estes tipos de eventos.
Os eventos genéricos não aparecem em nenhuma das vistas organizadas. Aparecem apenas no registo não processado e nas pesquisas de UDM.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.