調查網域

Google Security Operations 可讓您調查特定網域，判斷企業內是否有任何網域，以及這些外部系統可能對資產造成的影響。

如要在 Google Security Operations 中存取「網域」檢視畫面，請完成下列步驟：

1. 在 Google SecOps 登陸頁面的搜尋列中，輸入網域 (結尾為已知的公用字尾) 或網址。

2. 按一下「搜尋」。如果網域屬於貴機構，系統會將其列在「網域」標題下方。按一下網域名稱連結，即可切換至「網域」檢視畫面。如果網域位於企業內，系統會在「網域」檢視畫面中顯示其他資訊。如果網域不存在，「網域」檢視畫面會顯示空白。

網域環境

網域檢視畫面會顯示所查詢網域的背景資訊，包括擷取的記錄資料中的參照，以及來自 VirusTotal 等來源的第三方和外部擴充功能。

VT 背景資訊

按一下「VT Context」，即可查看這個網域的 VirusTotal 資訊。

WHOIS

Google SecOps 會顯示與註冊網域相關聯的 WHOIS 資訊。評估網域聲譽時，這項資訊會派上用場。

出現次數

Google SecOps 會以圖形呈現特定 FQDN 和 TLD 的歷史普及率。這個圖表可用於判斷網域是否曾從企業內部存取，並指出網域是否與以企業為目標的特定廣告活動相關聯。一般來說，使用率較低的網域 (連結至較少資產的網域) 可能對企業構成較大的威脅。

將指標懸停在「普及率」圖表中的長條上時，圖表會列出存取網域的資產。由於 DNS 伺服器十分常見，因此未列出。如果所有資產都是 DNS 伺服器，系統就不會列出任何資產。

網域洞察

網域深入分析可提供更多有關調查中網域的背景資訊。 您可以藉此判斷網域是否安全。您也可以進一步調查指標，判斷是否發生更大規模的安全性遭入侵事件。

顯示的網域洞察資料會因 Google SecOps 帳戶中與網域相關聯的資訊可用性而異，但可能包括下列項目：

• ET Intelligence Rep List：根據 ProofPoint 的 Emerging Threats (ET) Intelligence Rep List 進行檢查，並列出與特定 IP 位址和網域相關聯的已知威脅。

• ESET 威脅情報： 根據 ESET 的威脅情報服務進行檢查。

• 已解析的 IP：貴機構在特定完整網域名稱中發現的所有已解析 IP 位址。例如：

  • 搜尋 test.altostrat.com (完整網域名稱)
  • 系統會顯示 2 個已解析的 IP (198.51.100.81 和 203.0.113.81)

• 相關聯的子網域：在特定完整網域名稱的機構中，所有相關聯的子網域都會顯示。許多攻擊者會使用相同的網域和子網域發動攻擊。例如：

  • 搜尋 sandbox.altostrat.com (完整網域名稱)
  • 顯示 2 個子網域 (test.sandbox.altostrat.com 和 staging.sandbox.altostrat.com)

• 同層網域：在特定層級中，貴機構的特定完整網域名稱所出現的所有同層網域。例如：

  • 搜尋 sandbox.altostrat.com
  • 系統會顯示 1 個同層網域 (foo.altostrat.com)

時間軸

「時間軸」分頁會列出網域的所有事件。「資產 ID」欄會顯示資產 ID。在少數情況下，Google SecOps 會將資產 ID 替換為資產的 IP 位址。

注意事項

網域檢視畫面有下列限制：

• 這個檢視畫面最多只能顯示 1000 個事件。
• 您只能篩選這個檢視畫面中顯示的事件。
• 這個檢視畫面只會填入 DNS、EDR 和 Webproxy 事件類型。 這個檢視畫面中填入的首次和上次出現資訊，也僅限於這些事件類型。
• 一般事件不會顯示在任何精選檢視畫面中。這類項目只會顯示在原始記錄和 UDM 搜尋中。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。