Cette page a été traduite par l'API Cloud Translation.

Examiner un domaine

Google Security Operations vous permet d'examiner des domaines spécifiques afin de déterminer s'ils existent dans votre entreprise et l'impact que ces systèmes externes ont pu avoir sur vos ressources.

Pour accéder à la vue Domaine dans Google Security Operations, procédez comme suit:

Saisissez le domaine (se terminant par un suffixe public connu) ou l'URL dans la barre de recherche sur la page de destination de Google Security Operations.
Cliquez sur Rechercher. Si le domaine est présent dans votre entreprise, il est répertorié sous l'en-tête Domains (Domaines). Cliquez sur le lien du nom de domaine pour passer à la vue Domain (Domaine). Si le domaine est présent dans votre entreprise, des informations supplémentaires sont affichées dans la vue Domaine. Si le domaine n'est pas présent, la vue Domain (Domaine) est vide.

Remarque :La recherche UDM offre des fonctionnalités améliorées qui vous permettent d'effectuer des investigations plus approfondies sur les événements et les alertes de votre instance Google Security Operations qu'avec la seule vue Domaine. Pour en savoir plus, consultez la section Recherche sur l'UDM.

Contexte du domaine

La vue du domaine affiche le contexte du domaine interrogé, pour inclure des références dans les données de journaux ingérées, ainsi que des enrichissements tiers et externes provenant de sources telles que VirusTotal.

Contexte du VTT

Cliquez sur Contexte de la vérification (VT) pour afficher les informations VirusTotal disponibles pour ce domaine.

WHOIS

Google Security Operations affiche les informations WHOIS associées au domaine enregistré. Ces informations peuvent être utiles pour évaluer la réputation d'un domaine.

Prévalence

Google Security Operations fournit une représentation graphique de la prévalence historique d'un nom de domaine complet et de son domaine de premier niveau. Ce graphique peut être utilisé pour déterminer si le domaine a déjà fait l'objet d'un accès depuis l'entreprise et peut indiquer si le domaine est associé à une campagne spécifique ciblant l'entreprise. En règle générale, les domaines moins fréquents, ceux auxquels moins d'éléments sont connectés, peuvent représenter une menace plus importante pour votre entreprise.

Lorsque vous maintenez le pointeur sur une barre du graphique Prevalence (Prévalence), celui-ci répertorie les éléments ayant accédé au domaine. En raison de la forte prévalence des serveurs DNS, ils ne sont pas répertoriés. Si tous les éléments sont des serveurs DNS, aucun élément n'est répertorié.

Insights sur le domaine

Les insights sur les domaines vous fournissent plus de contexte sur les domaines en cours d'examen. Vous pouvez les utiliser pour déterminer si un domaine est inoffensif ou malveillant. Elles vous permettent également d'examiner plus en détail un indicateur pour déterminer s'il existe un compromis plus large.

Les insights sur le domaine affichés varient en fonction de la disponibilité des informations associées au domaine dans votre compte Google Security Operations, mais peuvent inclure les éléments suivants:

Liste des représentants du renseignement ET:vérifie la liste des représentants du renseignement ProofPoint (ET) et répertorie les menaces connues liées à des adresses IP et des domaines spécifiques.
ESET Threat Intelligence:vérification par rapport au service de renseignement sur les menaces d'ESET.
Adresses IP résolues:toutes les adresses IP résolues qui ont été détectées dans votre organisation pour un nom de domaine complet donné. Exemple :
- Recherchez test.altostrat.com (nom de domaine complet).
- Deux adresses IP résolues (198.51.100.81 et 203.0.113.81) sont affichées
Sous-domaines associés:tous les sous-domaines associés qui ont été vus dans votre organisation pour un nom de domaine complet donné. De nombreux attaquants utilisent le même domaine et le même sous-domaine pour leurs attaques. Exemple :
- Recherchez sandbox.altostrat.com (nom de domaine complet).
- Deux sous-domaines (test.sandbox.altostrat.com etstaging.sandbox.altostrat.com) s'affichent.
Domaines frères:tous les domaines frères et sœurs vus dans votre organisation pour un nom de domaine complet donné à un niveau donné. Exemple :
- Recherchez sandbox.altostrat.com.
- 1 domaine frère (foo.altostrat.com) s'affiche

Chronologie

L'onglet Chronologie liste tous les événements ayant lieu sur le domaine. La colonne Identifiant d'élément affiche l'ID de l'élément. Dans de rares cas, Google Security Operations remplace l'ID de l'élément par son adresse IP.

Remarques

Les limitations suivantes s'appliquent à l'affichage du domaine:

Seuls 1 000 événements peuvent être affichés dans cette vue.
Vous ne pouvez filtrer que les événements affichés dans cette vue.
Seuls les types d'événements DNS, EDR et Webproxy sont renseignés dans cette vue. Les informations "Première occurrence" et "Dernière occurrence" renseignées dans cette vue sont également limitées à ces types d'événements.
Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les recherches de journaux bruts et UDM.