Esta página foi traduzida pela API Cloud Translation.

Investigar um domínio

Compatível com:

Google SecOps SIEM

Com o Google Security Operations, você pode investigar domínios específicos para determinar se algum deles está presente na sua empresa e qual impacto esses sistemas externos podem ter causado nos seus recursos.

Para acessar a visualização Domínio no Google SecOps, siga estas etapas:

Insira o domínio (terminando com um sufixo público conhecido) ou o URL na barra de pesquisa da página de destino do Google SecOps.
Clique em Pesquisar. Se o domínio estiver presente na sua empresa, ele vai aparecer em Domínios. Clique no link do nome de domínio para acessar a visualização Domínio. Se o domínio estiver presente na sua empresa, mais informações serão mostradas na visualização Domínio. Se o domínio não estiver presente, a visualização Domínio vai ficar vazia.

Observação: a pesquisa da UDM oferece recursos aprimorados que permitem realizar investigações mais completas dos eventos e alertas na sua instância do Google SecOps do que é possível usando apenas a visualização Domínio. Para mais informações, consulte Pesquisa de UDM.

contexto sobre o domínio

A visualização de domínio mostra o contexto sobre o domínio consultado, incluindo referências em dados de registro ingeridos, além de enriquecimentos externos e de terceiros de fontes como o VirusTotal.

Contexto do VT

Clique em Contexto do VT para ver as informações do VirusTotal disponíveis para esse domínio.

WHOIS

O Google SecOps mostra as informações do WHOIS associadas ao domínio registrado. Essas informações podem ser úteis ao avaliar a reputação de um domínio.

Prevalência

O Google SecOps oferece uma representação gráfica da prevalência histórica de um determinado FQDN e seu TLD. Esse gráfico pode ser usado para determinar se o domínio já foi acessado de dentro da empresa e indicar se ele está associado a uma campanha específica direcionada à empresa. Normalmente, domínios menos prevalentes, aos quais menos recursos estão conectados, podem representar uma ameaça maior para sua empresa.

Quando você mantém o ponteiro sobre uma barra no gráfico de Prevalência, ele lista os recursos que acessaram o domínio. Devido à alta prevalência de servidores DNS, eles não são listados. Se todos os recursos forem servidores DNS, nenhum recurso será listado.

Insights sobre o domínio

Os insights de domínio oferecem mais contexto sobre os domínios em investigação. É possível usá-los para determinar se um domínio é benigno ou malicioso. Eles também permitem investigar mais um indicador para determinar se há uma violação mais ampla.

Os insights de domínio exibidos variam de acordo com a disponibilidade de informações associadas ao domínio na sua conta do Google SecOps, mas podem incluir o seguinte:

Lista de reputação de inteligência de ameaças emergentes (ET, na sigla em inglês):verifica a lista de reputação de inteligência de ameaças emergentes (ET) da ProofPoint e lista ameaças conhecidas vinculadas a endereços IP e domínios específicos.
Inteligência contra ameaças da ESET:verifica o serviço de inteligência contra ameaças da ESET.
IPs resolvidos:todos os endereços IP resolvidos que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Exemplo:
- Pesquise test.altostrat.com (nome de domínio totalmente qualificado).
- Dois IPs resolvidos (198.51.100.81 e 203.0.113.81) são mostrados.
Subdomínios associados:todos os subdomínios associados que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Muitos adversários usam o mesmo domínio e subdomínio para os ataques. Exemplo:
- Pesquise sandbox.altostrat.com (nome de domínio totalmente qualificado).
- Dois subdomínios (test.sandbox.altostrat.com e staging.sandbox.altostrat.com) são mostrados.
Domínios irmãos:todos os domínios irmãos que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado em um determinado nível. Exemplo:
- Pesquise sandbox.altostrat.com
- Um domínio irmão (foo.altostrat.com) é exibido

Cronograma

A guia Linha do tempo lista todos os eventos do domínio. A coluna Identificador do recurso mostra o ID do recurso. Em alguns casos, o Google SecOps substitui o ID do recurso pelo endereço IP dele.

Considerações

A visualização de domínio tem as seguintes limitações:

Apenas 1.000 eventos podem ser mostrados nessa visualização.
Só é possível filtrar eventos que aparecem nessa visualização.
Somente os tipos de evento DNS, EDR e Webproxy são preenchidos nessa visualização. As informações de primeira e última visualização preenchidas nessa visualização também são limitadas a esses tipos de eventos.
Os eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Elas aparecem apenas no registro bruto e nas pesquisas de UDM.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.