调查网域
借助 Google Security Operations,您可以调查特定网域,以确定您的企业中是否存在任何网域,以及这些外部系统可能会对您的资产产生怎样的影响。
如需访问 Google Security Operations 中的网域视图,请完成以下步骤:
在 Google Security Operations 着陆页的搜索栏中输入域名(以已知的公共后缀结尾)或网址。
点击搜索。如果企业中存在网域,则该网域会列在网域标题下。点击域名链接可转到网域视图。如果网域存在于您的企业中,则网域视图中会显示其他信息。如果该网域不存在,网域视图将为空。
网域上下文
网域视图显示有关所查询网域的上下文,以包含所提取日志数据中的引用,以及来自 VirusTotal 等来源的第三方和外部扩充项。
VT 背景信息
点击 VT 上下文,查看此网域的可用 VirusTotal 信息。
WHOIS
Google Security Operations 会显示与注册网域关联的 WHOIS 信息。在评估网域的声誉时,此信息非常有用。
普及率
Google Security Operations 以图形方式展示给定 FQDN 及其 TLD 的历史普遍性。此图可用于确定之前是否从企业内部访问过该网域,并可以指示该网域是否与针对企业的特定广告系列相关联。通常,不太普遍的网域(即连接到的资产较少的网域)可能对您的企业造成较大的威胁。
将指针悬停在发生率图中的条形上时,图表会列出访问过相应网域的资产。由于 DNS 服务器的频繁出现,我们并未将其列出。如果所有资源都是 DNS 服务器,则不会列出任何资源。
网域数据分析
域名数据洞察为您提供了有关正在调查的网域的更多背景信息。您可以使用它们来确定网域是良性还是恶意。它们还可让您进一步调查指标,以确定是否存在更广泛的危害。
显示的网域数据分析因 Google Security Operations 账号中与相应网域关联的信息的可用性而异,但可能包括以下内容:
ET Intelligence Rep List:根据 ProofPoint 的新兴威胁 (ET) 情报 Rep List 进行检查,并列出与特定 IP 地址和网域关联的已知威胁。
ESET 威胁情报:针对 ESET 的威胁情报服务进行检查。
已解析的 IP 地址:对于给定的完全限定域名,已在您的组织中看到的所有已解析 IP 地址。例如:
- 搜索 test.altostrat.com(完全限定域名)
- 系统会显示 2 个已解析的 IP(198.51.100.81 和 203.0.113.81)
相关子网域:针对给定完全限定域名,在您的组织中出现的所有相关子网域。许多对手使用相同的网域和子网域进行攻击。例如:
- 搜索 sandbox.altostrat.com(完全限定域名)
- 显示了 2 个子网域(test.sandbox.altostrat.com 和 staging.sandbox.altostrat.com)
同级网域:在您的组织中,对于指定级别的指定完全限定域名的所有同级网域。例如:
- 搜索 sandbox.altostrat.com
- 显示 1 个同级网域 (foo.altostrat.com)
时间轴
时间轴标签页列出了网域的所有事件。资产标识符列会显示资产 ID。在少数情况下,Google Security Operations 会将资产 ID 替换为资产的 IP 地址。
注意事项
网域视图具有以下限制:
- 此视图中只能显示 1000 个活动。
- 您只能过滤此数据视图中显示的事件。
- 此视图中仅填充了 DNS、EDR 和 Webproxy 事件类型。 此视图中填充的首次出现和最后一次出现的信息也仅限于这些事件类型。
- 常规事件不会显示在任何精选视图中。它们仅出现在原始日志和 UDM 搜索中。