Examiner un domaine
Google Security Operations vous permet d'examiner des domaines spécifiques afin de déterminer sont présents dans votre entreprise, et quel impact ces systèmes externes sur vos éléments.
Pour accéder à la vue Domaine dans Google Security Operations, procédez comme suit :
Saisissez le domaine (se terminant par un suffixe public connu) ou l'URL dans le champ de recherche sur la page de destination de Google Security Operations.
Cliquez sur Rechercher. Si le domaine est présent dans votre entreprise, il est listé sous l'en-tête Domains (Domaines). Cliquez sur le lien du nom de domaine vers lequel effectuer le croisement. Vue Domaine. Si le domaine est présent dans votre entreprise, des informations supplémentaires s'affichent dans la vue Domaine. Si le domaine n'est pas présent, La vue Domaine est vide.
Contexte de domaine
La vue "Domaine" affiche le contexte du domaine interrogé, pour y inclure des références des données de journaux ingérées, ainsi que des enrichissements tiers et externes provenant de sources telles que VirusTotal
Contexte de la VFC
Cliquez sur VT Context (Contexte de la vérification du trafic) pour afficher les informations VirusTotal disponibles pour domaine.
WHOIS
Google Security Operations affiche les informations WHOIS associées au domaine enregistré. Ces informations peuvent être utiles pour évaluer la réputation d'un domaine.
Prévalence
Google Security Operations fournit une représentation graphique de l'historique de la prévalence d'un FQDN donné et de son TLD. Ce graphique peut être utilisé pour déterminer si le domaine a déjà fait l’objet d’un accès depuis l’entreprise et peut indiquent si le domaine est associé à un compte ciblant les entreprises. En règle générale, les domaines moins courants, ceux auxquels moins d'éléments sont connectés, peuvent représenter une menace plus importante pour votre entreprise.
Lorsque vous maintenez le pointeur sur une barre du graphique Prévalence, le graphique liste les composants ayant accédé au domaine. En raison de la forte prévalence des DNS des serveurs, ils ne sont pas répertoriés. Si tous les éléments sont des serveurs DNS, aucun élément n'est listé.
Insights sur le domaine
Les insights sur les domaines vous fournissent plus de contexte sur les domaines en cours d'examen. Vous pouvez les utiliser pour déterminer si un domaine est sain ou malveillant. Ils ont aussi vous permettent d'étudier plus en détail un indicateur afin de déterminer s'il existe compromis.
Les insights sur le domaine affichés varient en fonction de la disponibilité des informations associé au domaine de votre compte Google Security Operations, mais peut incluent les éléments suivants:
Liste des représentants du renseignement ET:comparaison des menaces émergentes de ProofPoint et recense les menaces connues liées à des adresses IP spécifiques. à vos adresses e-mail et à vos domaines.
ESET Threat Intelligence : vérifications effectuées par le service de renseignement sur les menaces d'ESET.
Adresses IP résolues : toutes les adresses IP résolues qui ont été détectées dans votre organisation pour un nom de domaine complet donné. Exemple :
- Recherchez test.altostrat.com (nom de domaine complet).
- Deux adresses IP résolues (198.51.100.81 et 203.0.113.81) sont affichées
Sous-domaines associés:tous les sous-domaines associés qui ont été vus dans votre organisation pour un nom de domaine complet donné. De nombreux attaquants utilisent le même domaine et le même sous-domaine pour leurs attaques. Exemple :
- Recherchez sandbox.altostrat.com (nom de domaine complet).
- Deux sous-domaines (test.sandbox.altostrat.com et staging.sandbox.altostrat.com) sont affichés.
Domaines frères:tous les domaines frères et sœurs vus dans votre organisation pour un Nom de domaine complet donné à un niveau donné. Exemple :
- Recherchez sandbox.altostrat.com.
- 1 domaine frère (foo.altostrat.com) s'affiche
Chronologie
L'onglet Chronologie liste tous les événements ayant lieu sur le domaine. La colonne Identifiant de l'élément affiche l'ID de l'élément. Dans de rares cas, Google Security Operations remplace l'ID de l'élément par son adresse IP.
Remarques
La vue du domaine présente les limites suivantes :
- Seuls 1 000 événements peuvent être affichés dans cette vue.
- Vous ne pouvez filtrer que les événements affichés dans cette vue.
- Seuls les types d'événements DNS, EDR et Webproxy sont renseignés dans cette vue. Les informations "Première occurrence" et "Dernière occurrence" renseignées dans cette vue sont également limitées à ces types d'événements.
- Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans dans les journaux bruts et les recherches UDM.