Investigar un dominio
Google Security Operations te permite investigar dominios específicos para determinar si hay alguno en tu empresa y qué impacto podrían haber tenido estos sistemas externos en tus recursos.
Para acceder a la vista Dominio en Operaciones de seguridad de Google, completa los siguientes pasos:
Ingresa el dominio (que termina con un sufijo público conocido) o la URL en la búsqueda de la página de destino de Google Security Operations.
Haz clic en Buscar. Si el dominio está en tu empresa, aparecerá en la lista en la sección Dominios. Haga clic en el vínculo del nombre de dominio al que desea ir Domain. Si el dominio está presente en tu empresa, se mostrará información adicional en la vista Dominio. Si el dominio no está presente, la vista Dominio estará vacía.
Contexto del sector
La vista de dominio muestra el contexto sobre el dominio consultado para incluir referencias en datos de registro transferidos, además de enriquecimientos externos y de terceros de fuentes como VirusTotal.
Contexto de VT
Haz clic en Contexto de VT para ver la información de VirusTotal disponible para este dominio.
WHOIS
Google Security Operations muestra el WHOIS información asociada con el dominio registrado. Esta información puede ser útil cuando se evalúa la reputación de un dominio.
Prevalencia
Google Security Operations proporciona una representación gráfica de la prevalencia histórica de un FQDN determinado y su TLD. Este gráfico se puede usar para determinar si se accedió al dominio desde la empresa antes y puede indicar si el dominio está asociado con una campaña en particular segmentada para la empresa. Por lo general, los dominios menos frecuentes, a los que se conectaron menos recursos, pueden representar una amenaza mayor para tu empresa.
Cuando mantienes el puntero sobre una barra en el gráfico Prevalence, este muestra una lista de los recursos que accedieron al dominio. Debido a la alta prevalencia de los servidores DNS, no se incluyen en la lista. Si todos los recursos son servidores DNS, no se enumeran ninguno.
Estadísticas de dominio
Las estadísticas de dominios te proporcionan más contexto sobre los dominios en investigación. Puedes usarlos para determinar si un dominio es benigno o malicioso. También te permiten investigar más a fondo un indicador para determinar si hay un modelo más amplio de seguridad en la nube.
Las estadísticas de los dominios que se muestran varían en función de la disponibilidad de la información. asociada con el dominio en tu cuenta de Google Security Operations, pero también incluyen lo siguiente:
Lista de representantes de ET Intelligence: Compara las amenazas emergentes de ProofPoint (ET) Lista de representantes de información y listas de amenazas conocidas vinculadas a IP específicas y dominios.
ESET Threat Intelligence: Realiza verificaciones en el servicio de inteligencia de amenazas de ESET.
IP resueltas: Todas las direcciones IP resueltas que se vieron en tu de Google para un nombre de dominio completamente calificado. Por ejemplo:
- Busca test.altostrat.com (nombre de dominio completamente calificado).
- Se muestran 2 IPs resueltas (198.51.100.81 y 203.0.113.81).
Subdominios asociados: son todos los subdominios asociados que se vieron en su organización para un determinado nombre de dominio completamente calificado. Muchos adversarios usan el mismo dominio y subdominio para sus ataques. Por ejemplo:
- Buscar sandbox.altostrat.com (nombre de dominio completamente calificado)
- 2 subdominios (test.sandbox.altostrat.com y staging.sandbox.altostrat.com) se muestran
Dominios hermanos: Son todos los dominios hermanos que se vieron en tu organización para un nombre de dominio completamente calificado determinado en un nivel determinado. Por ejemplo:
- Busca sandbox.altostrat.com
- Se muestra 1 dominio hermano (foo.altostrat.com)
Cronograma
En la pestaña Cronograma, se muestran todos los eventos del dominio. La columna Identificador de activos muestra el ID del activo. En algunos casos, Google Security Operations reemplaza el ID del activo por la dirección IP del activo.
Consideraciones
La vista de dominio tiene las siguientes limitaciones:
- Solo se pueden mostrar 1,000 eventos en esta vista.
- Solo puedes filtrar los eventos que se muestran en esta vista.
- En esta vista, solo se propagan los tipos de eventos DNS, EDR y Webproxy. También se limita la información de primer y último caso que aparece en esta vista. a estos tipos de eventos.
- Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en en las búsquedas de UDM y registros sin procesar.