Esta página foi traduzida pela API Cloud Translation.

Investigar um domínio

Compatível com:

Google SecOps SIEM

O Google Security Operations permite investigar domínios específicos para determinar se estão presentes na empresa e o impacto desses sistemas externos poderia ter tido em seus ativos.

Para acessar a visualização Domínio nas Operações de segurança do Google, siga estas etapas:

Insira o domínio (terminando com um sufixo público conhecido) ou o URL na pesquisa na página de destino das Operações de segurança do Google.
Clique em Pesquisar. Se o domínio estiver presente na sua empresa, ele será listado no título Domínios. Clique no link do nome do domínio para dinamizar Domínio. Se o domínio estiver presente na sua empresa, outros informações são exibidas na visualização Domínio. Se o domínio não estiver presente, a visualização Domínio vai ficar vazia.

Observação: a pesquisa UDM oferece recursos avançados que permitem conduzir investigações mais completas dos eventos e alertas em sua instância do Google Security Operations do que é possível usando apenas a visualização Domain. Para mais informações, consulte Pesquisa de UDM.

contexto sobre o domínio

A visualização de domínio mostra o contexto sobre o domínio consultado, para incluir referências em dados de registros ingeridos, bem como enriquecimentos externos e de terceiros de fontes como o VirusTotal.

Contexto de VT

Clique em Contexto de VT para ver as informações do VirusTotal disponíveis para esta domínio.

WHOIS

As Operações de segurança do Google mostram WHOIS informações associadas ao domínio registrado. Essas informações podem ser úteis ao avaliar a reputação de um domínio.

Prevalência

As Operações de segurança do Google oferecem uma representação gráfica dos prevalência de um determinado FQDN e seu TLD. Este gráfico pode ser usado para determinar se o domínio já foi acessado de dentro da empresa e pode indicar se o domínio está associado a uma determinada que segmentam a empresa. Normalmente, domínios menos prevalentes, aqueles que com menos recursos conectados, pode representar uma ameaça maior à sua em uma empresa.

Quando você coloca o ponteiro sobre uma barra no gráfico de Prevalência, o gráfico lista os recursos que acessaram o domínio. Devido à alta prevalência de DNS servidores, eles não serão listados. Se todos os recursos forem servidores DNS, nenhum recurso será listado.

Insights do domínio

Os insights de domínio oferecem mais contexto sobre os domínios em investigação. É possível usá-las para determinar se um domínio é benigno ou malicioso. Eles também permitem que você investigue mais a fundo um indicador para determinar se há um problema os indicadores de comprometimento.

Os insights de domínio exibidos variam de acordo com a disponibilidade das informações associados ao domínio na sua conta do Google Security Operations, mas pode incluem o seguinte:

Lista de representantes de inteligência do ET: verificações contra as ameaças emergentes da ProofPoint (ET) Lista de representantes de inteligência e lista ameaças conhecidas vinculadas a endereços IP específicos endereços IP e domínios.
ESET Threat Intelligence: Verifica o serviço de inteligência sobre ameaças da ESET.
Endereços IP resolvidos: todos os endereços IP resolvidos que foram encontrados na sua organização para um determinado nome de domínio totalmente qualificado. Exemplo:
- Pesquise test.altostrat.com (nome de domínio totalmente qualificado)
- 2 IPs resolvidos (198.51.100.81 e 203.0.113.81) são exibidos
Subdomínios associados: todos os subdomínios associados que foram encontrados na organização para um determinado nome de domínio totalmente qualificado. Muitos adversários usam o mesmo domínio e subdomínio para os ataques. Exemplo:
- Pesquise sandbox.altostrat.com (nome de domínio totalmente qualificado)
- Dois subdomínios (test.sandbox.altostrat.com e staging.sandbox.altostrat.com) são exibidas
Domínios semelhantes:todos os domínios irmãos que foram vistos no seu organização para um determinado Nome de domínio totalmente qualificado em um determinado nível. Exemplo:
- Pesquisar sandbox.altostrat.com
- 1 domínio irmão (foo.altostrat.com) é exibido

Cronograma

A guia Cronograma lista todos os eventos do domínio. A coluna Identificador do recurso mostra o ID do recurso. Em um pequeno número de casos, as Operações de segurança do Google substituem o ID do recurso pelo endereço IP do recurso.

Considerações

A visualização do domínio tem as seguintes limitações:

Somente 1.000 eventos podem ser exibidos nessa visualização.
Só é possível filtrar eventos que são exibidos nessa vista da propriedade.
Somente os tipos de evento DNS, EDR e Webproxy são preenchidos nessa visualização. As informações preenchidas pela primeira e última visualização nessa visualização também são limitadas a esses tipos de evento.
Eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles aparecem somente em registros brutos e pesquisas UDM.