调查网域

借助 Google Security Operations，您可以调查特定网域，以确定企业中是否存在任何网域，以及这些外部系统可能对资产产生的影响。

如需访问 Google SecOps 中的网域视图，请完成以下步骤：

1. 在 Google SecOps 着陆页的搜索栏中输入网域（以已知的公共后缀结尾）或网址。

2. 点击搜索。如果网域存在于您的企业中，则会列在网域标题下。点击域名链接可切换到网域视图。如果网域存在于企业中，系统会在网域视图中显示更多信息。如果网域不存在，网域视图将为空。

网域上下文

网域视图会显示有关所查询网域的上下文，包括提取的日志数据中的引用，以及来自 VirusTotal 等来源的第三方和外部丰富信息。

VT 情境

点击 VT Context 可查看适用于相应网域的 VirusTotal 信息。

WHOIS

Google SecOps 会显示与注册网域相关联的 WHOIS 信息。在评估网域的声誉时，此信息会很有用。

普及率

Google SecOps 以图形方式呈现了给定 FQDN 及其 TLD 的历史普及率。此图表可用于确定之前是否从企业内部访问过该网域，并指示该网域是否与针对企业的特定广告系列相关联。通常，不太常见的网域（即已关联较少的网域）可能对您的企业构成更大的威胁。

将指针悬停在普及率图表中的某个条形上时，图表会列出访问过相应网域的资产。由于 DNS 服务器非常普遍，因此未列出。如果所有资产都是 DNS 服务器，则不会列出任何资产。

域名数据洞察

域名数据洞察为您提供了有关正在调查的网域的更多背景信息。您可以使用它们来确定网域是良性还是恶意。您还可以利用它们进一步调查指标以确定是否存在更广义的折衷方案。

显示网域数据分析取决于 Google SecOps 账号中与网域相关联的信息的可用性，但可能包括以下内容：

• ET 情报代表名单：根据 ProofPoint 的新兴威胁 (ET) 情报代表名单进行检查，并列出与特定 IP 地址和网域相关的已知威胁。

• ESET 威胁情报：根据 ESET 的威胁情报服务进行检查。

• 已解析的 IP：贵组织中给定完全限定域名对应的所有已解析 IP 地址。例如：

  • 搜索 test.altostrat.com（完全限定域名）
  • 系统会显示 2 个已解析的 IP（198.51.100.81 和 203.0.113.81）

• 关联的子网域：贵组织中采用完全限定域名的所有关联子网域。许多攻击者都使用同一网域和子网域进行攻击。例如：

  • 搜索 sandbox.altostrat.com（完全限定域名）
  • 显示 2 个子网域（test.sandbox.altostrat.com 和 staging.sandbox.altostrat.com）

• 同级网域：组织内给定级别下完全限定域名对应的所有同级网域。例如：

  • 搜索 sandbox.altostrat.com
  • 显示 1 个同级网域 (foo.altostrat.com)

时间轴

时间轴标签页列出了网域的所有事件。素材资源标识符列显示素材资源 ID。在少数情况下，Google SecOps 会将资产 ID 替换为资产的 IP 地址。

注意事项

网域视图具有以下限制：

• 此视图中最多只能显示 1,000 个事件。
• 您只能过滤此视图中显示的事件。
• 此视图中仅填充 DNS、EDR 和 Webproxy 事件类型。 此视图中填充的“首次发现”和“上次发现”信息也仅限于这些事件类型。
• 通用事件不会显示在任何精选视图中。它们仅会出现在原始日志和 UDM 搜索中。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。