Diese Seite wurde von der Cloud Translation API übersetzt.

Domain prüfen

Unterstützt in:

Google SecOps SIEM

Mit Google Security Operations können Sie bestimmte Domains untersuchen, um festzustellen, ob sie in Ihrem Unternehmen vorhanden sind, und welche Auswirkungen diese externen Systeme auf Ihre Assets haben könnten.

So rufen Sie die Ansicht Domain in Google Security Operations auf:

Geben Sie die Domain (mit einem bekannten öffentlichen Suffix) oder die URL in die Suchleiste auf der Google Security Operations-Landingpage ein.
Klicken Sie auf Suchen. Wenn die Domain in Ihrem Unternehmen vorhanden ist, wird sie unter der Überschrift Domains aufgeführt. Klicken Sie auf den Link zum Domainnamen, um zur Ansicht Domain zu wechseln. Wenn die Domain in Ihrem Unternehmen vorhanden ist, werden in der Ansicht Domain zusätzliche Informationen angezeigt. Wenn die Domain nicht vorhanden ist, ist die Ansicht Domain leer.

Hinweis: Die UDM-Suche bietet erweiterte Funktionen, mit denen Sie die Ereignisse und Benachrichtigungen in Ihrer Google Security Operations-Instanz genauer untersuchen können als nur mit der Domainansicht. Weitere Informationen finden Sie unter UDM-Suche.

Domainkontext

Die Domainansicht enthält Kontextinformationen zur abgefragten Domain, einschließlich Verweise in aufgenommenen Protokolldaten sowie von Drittanbietern und externen Quellen wie VirusTotal.

VT-Kontext

Klicken Sie auf VT-Kontext, um die für diese Domain verfügbaren VirusTotal-Informationen aufzurufen.

WHOIS

Google Security Operations zeigt die WHOIS an, die mit der registrierten Domain verknüpft sind. Diese Informationen können bei der Beurteilung des Rufs einer Domain hilfreich sein.

Verbreitung

Google Security Operations bietet eine grafische Darstellung der bisherigen Verbreitung eines bestimmten FQDN und seiner TLD. Anhand dieser Grafik lässt sich feststellen, ob bereits einmal von innerhalb des Unternehmens auf die Domain zugegriffen wurde. Außerdem kann sie Aufschluss darüber geben, ob die Domain mit einer bestimmten Kampagne verknüpft ist, die auf das Unternehmen ausgerichtet ist. In der Regel stellen weniger gängige Domains, mit denen weniger Assets verbunden sind, eine größere Bedrohung für Ihr Unternehmen dar.

Wenn Sie den Mauszeiger im Diagramm Prävalenz auf einen Balken bewegen, werden die Assets aufgeführt, die auf die Domain zugegriffen haben. Aufgrund der großen Verbreitung von DNS-Servern werden sie nicht aufgeführt. Wenn alle Assets DNS-Server sind, werden keine Assets aufgeführt.

Domainstatistiken

Domainstatistiken bieten Ihnen mehr Kontext zu den untersuchten Domains. Sie können damit feststellen, ob eine Domain harmlos oder schädlich ist. Außerdem können Sie einen Indikator genauer untersuchen, um festzustellen, ob es sich um einen größeren Sicherheitsverstoß handelt.

Die angezeigten Domainstatistiken variieren je nach Verfügbarkeit der Informationen, die mit der Domain in Ihrem Google Security Operations-Konto verknüpft sind. Sie können Folgendes umfassen:

ET Intelligence Rep List: Wird anhand der Emerging Threats (ET) Intelligence Rep List von ProofPoint geprüft und enthält bekannte Bedrohungen, die mit bestimmten IP-Adressen und Domains verknüpft sind.
ESET Threat Intelligence:Wird der Dienst für Threat Intelligence von ESET geprüft?
Aufgelöste IPs:Alle aufgelösten IP-Adressen, die in Ihrer Organisation für einen bestimmten vollständig qualifizierten Domainnamen verwendet wurden. Beispiel:
- Suchen Sie nach test.altostrat.com (voll qualifizierter Domainname).
- Es werden zwei aufgelöste IP-Adressen (198.51.100.81 und 203.0.113.81) angezeigt.
Verknüpfte Subdomains:Alle verknüpften Subdomains, die in Ihrer Organisation für einen bestimmten voll qualifizierten Domainnamen verwendet wurden. Viele Angreifer verwenden für ihre Angriffe dieselbe Domain und dieselbe Subdomain. Beispiel:
- Suchen Sie nach sandbox.altostrat.com (voll qualifizierter Domainname).
- Es werden zwei Subdomains angezeigt: „test.sandbox.altostrat.com“ und „staging.sandbox.altostrat.com“.
Schwesterdomains: Alle Schwesterdomains, die in Ihrer Organisation für einen bestimmten voll qualifizierten Domainnamen auf einer bestimmten Ebene gefunden wurden. Beispiel:
- Nach „sandbox.altostrat.com“ suchen
- Es wird eine Domain auf gleicher Ebene (foo.altostrat.com) angezeigt.

Zeitachse

Auf dem Tab Zeitachse sind alle Ereignisse für die Domain aufgeführt. In der Spalte Asset-ID sehen Sie die Asset-ID. In wenigen Fällen ersetzt das Google Security Operations-Team die Asset-ID durch die IP-Adresse des Assets.

Hinweise

Für die Domainansicht gelten die folgenden Einschränkungen:

In dieser Ansicht können nur 1.000 Ereignisse angezeigt werden.
Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
In dieser Ansicht werden nur DNS-, EDR- und Webproxy-Ereignistypen erfasst. Die Informationen zum ersten und letzten Aufruf, die in dieser Ansicht angezeigt werden, sind ebenfalls auf diese Ereignistypen beschränkt.
Allgemeine Ereignisse werden in keiner der ausgewählten Ansichten angezeigt. Sie werden nur in Rohlogs und UDM-Suchanfragen angezeigt.