도메인 조사
Google Security Operations를 사용하면 특정 도메인을 조사하여 기업 내에 존재하는 도메인과 이러한 외부 시스템이 애셋에 미치는 영향을 확인할 수 있습니다.
Google Security Operations의 도메인 뷰에 액세스하려면 다음 단계를 완료합니다.
Google Security Operations 방문 페이지의 검색창에 도메인(알려진 공개 서픽스로 끝나는) 또는 URL을 입력합니다.
검색을 클릭합니다. 도메인이 기업 내에 있으면 도메인 제목 아래에 나열됩니다. 도메인 이름 링크를 클릭하여 도메인 뷰로 전환합니다. 도메인이 기업 내에 있는 경우 도메인 뷰에 추가 정보가 표시됩니다. 도메인이 없으면 도메인 뷰가 비어 있습니다.
도메인 컨텍스트
도메인 뷰에는 VirusTotal과 같은 소스의 서드 파트 및 외부 보강 기능은 물론 수집된 로그 데이터의 참조를 포함하도록 쿼리 도메인에 대한 컨텍스트가 표시됩니다.
VT 컨텍스트
이 도메인에 사용 가능한 VirusTotal 정보를 보려면 VT 컨텍스트를 클릭합니다.
WHOIS
Google Security Operations에는 등록된 도메인과 연결된 WHOIS 정보가 표시됩니다. 이 정보는 도메인의 평판을 평가할 때 유용할 수 있습니다.
보급률
Google Security Operations는 지정된 FQDN 및 TLD의 과거 보급률을 그래픽으로 표시합니다. 이 그래프를 통해 이전에 기업에서 도메인에 액세스했는지 여부를 확인할 수 있으며 도메인이 기업을 대상으로 하는 특정 캠페인과 연결되어 있는지 여부를 나타낼 수 있습니다. 일반적으로 별로 퍼지지 않은 도메인 즉, 더 적은 수의 애셋이 연결된 도메인의 경우 기업에 더 위협이 될 수 있습니다.
보급률 그래프의 막대 위에 포인터를 놓으면 그래프에 도메인에 액세스한 애셋이 나열됩니다. DNS 서버의 보급률이 높기 때문에 나열되지 않습니다. 모든 애셋이 DNS 서버인 경우 애셋이 나열되지 않습니다.
도메인 통계
도메인 통계는 조사 중인 도메인에 대해 보다 정확한 정보를 제공합니다. 이를 사용하여 도메인이 무해하거나 악성인지 확인할 수 있습니다. 또한 더 광범위한 침해가 있는지 여부를 판단할 수 있도록 표시기를 더 자세히 조사할 수 있습니다.
표시되는 도메인 통계는 Google Security Operations 계정 내 도메인과 연결된 정보의 가용성에 따라 달라지지만 다음 정보가 포함될 수 있습니다.
ET 인텔리전스 대표 목록: ProofPoint의 ET(새로운 위협) 인텔리전스 대표 목록을 확인하고 특정 IP 주소 및 도메인에 연결된 알려진 위협을 나열합니다.
ESET 위협 인텔리전스: ESET의 위협 인텔리전스 서비스를 확인합니다.
확인된 IP: 특정 정규화된 도메인 이름에 대해 조직에서 확인한 모든 확인된 IP 주소입니다. 예를 들면 다음과 같습니다.
- test.altostrat.com(정규화된 도메인 이름) 검색
- 확인된 IP 2개(198.51.100.81 및 203.0.113.81)가 표시됨
연결된 하위 도메인: 특정 정규화된 도메인 이름에 대해 조직에서 확인한 모든 관련 하위 도메인입니다. 많은 공격자가 공격에 동일한 도메인과 하위 도메인을 사용합니다. 예를 들면 다음과 같습니다.
- sandbox.altostrat.com(정규화된 도메인 이름) 검색
- 하위 도메인 2개(test.sandbox.altostrat.com 및 staging.sandbox.altostrat.com)가 표시됨
동위 도메인: 특정 수준에서 정규화된 특정 도메인 이름에 대해 조직에서 확인한 모든 동위 도메인입니다. 예를 들면 다음과 같습니다.
- sandbox.altostrat.com 검색
- 동위 도메인 1개(foo.altostrat.com)가 표시됨
타임라인
타임라인 탭에는 도메인의 모든 이벤트가 나열됩니다. 애셋 식별자 열에는 애셋 ID가 표시됩니다. 일부 경우에는 Google Security Operations가 애셋 ID를 애셋의 IP 주소로 바꿉니다.
고려사항
도메인 뷰에는 다음과 같은 제한사항이 있습니다.
- 이 뷰에는 1,000개의 일정만 표시할 수 있습니다.
- 이 뷰에 표시되는 이벤트만 필터링할 수 있습니다.
- 이 뷰에는 DNS, EDR, Webproxy 이벤트 유형만 채워집니다. 이 뷰에서 처음 표시된 정보와 마지막으로 표시된 정보도 이러한 이벤트 유형으로 제한됩니다.
- 일반 이벤트는 선별된 뷰에 표시되지 않습니다. 원시 로그 및 UDM 검색에만 표시됩니다.