Cette page a été traduite par l'API Cloud Translation.

Examiner un domaine

Google Security Operations vous permet d'examiner des domaines spécifiques afin de déterminer sont présents dans votre entreprise, et quel impact ces systèmes externes sur vos éléments.

Pour accéder à la vue Domaine dans Google Security Operations, procédez comme suit:

Saisissez le domaine (se terminant par un suffixe public connu) ou l'URL dans le champ de recherche sur la page de destination de Google Security Operations.
Cliquez sur Rechercher. Si le domaine est présent dans votre entreprise, il est répertorié dans l'en-tête Domains (Domaines). Cliquez sur le lien du nom de domaine vers lequel effectuer le croisement. Vue Domaine. Si le domaine se trouve au sein de votre entreprise, s'affichent dans la vue Domaine. Si le domaine n'est pas présent, La vue Domaine est vide.

Remarque :La recherche UDM offre des fonctionnalités avancées qui vous permettent mener des enquêtes plus approfondies sur les événements et les alertes instance Google Security Operations que celle possible en utilisant uniquement la vue Domaine. Pour Pour en savoir plus, consultez UDM search (Recherche sur l'UDM).

Contexte du domaine

La vue "Domaine" affiche le contexte du domaine interrogé, pour y inclure des références des données de journaux ingérées, ainsi que des enrichissements tiers et externes provenant de sources telles que VirusTotal

Contexte du VTT

Cliquez sur VT Context (Contexte de la vérification du trafic) pour afficher les informations VirusTotal disponibles pour domaine.

WHOIS

Google Security Operations affiche WHOIS les informations associées au domaine enregistré. Ces informations peuvent être utiles pour évaluer la réputation d'un domaine.

Prévalence

Google Security Operations fournit une représentation graphique de l'historique la prévalence d'un FQDN donné et de son TLD. Ce graphique peut être utilisé pour déterminer si le domaine a déjà été consulté depuis l'entreprise et peut indiquent si le domaine est associé à un compte ciblant les entreprises. Généralement, les domaines moins fréquents, moins de ressources connectées peuvent représenter une menace plus grande pour les entreprises.

Lorsque vous maintenez le pointeur sur une barre du graphique Prévalence, le graphique liste les éléments ayant accédé au domaine. En raison de la forte prévalence des DNS des serveurs, ils ne sont pas répertoriés. Si tous les éléments sont des serveurs DNS, aucun élément n'est dans la liste.

Insights sur le domaine

Les insights sur les domaines vous fournissent plus de contexte sur les domaines en cours d'examen. Vous pouvez les utiliser pour déterminer si un domaine est inoffensif ou malveillant. Ils ont aussi vous permettent d'étudier plus en détail un indicateur afin de déterminer s'il existe compromis.

Les insights sur le domaine affichés varient en fonction de la disponibilité des informations associé au domaine de votre compte Google Security Operations, mais peut incluent les éléments suivants:

Liste des représentants du renseignement ET:comparaison des menaces émergentes de ProofPoint et recense les menaces connues liées à des adresses IP spécifiques. à vos adresses e-mail et à vos domaines.
ESET Threat Intelligence: Il vérifie les résultats auprès du service de renseignement sur les menaces d'ESET.
Adresses IP résolues:toutes les adresses IP résolues qui ont été vues dans vos pour un nom de domaine complet donné. Exemple :
- Recherchez test.altostrat.com (nom de domaine complet).
- Deux adresses IP résolues (198.51.100.81 et 203.0.113.81) sont affichées
Sous-domaines associés:tous les sous-domaines associés qui ont été vus dans votre organisation pour un nom de domaine complet donné. De nombreux attaquants utilisent le même domaine et sous-domaine pour leurs attaques. Exemple :
- Recherchez sandbox.altostrat.com (nom de domaine complet).
- 2 sous-domaines (test.sandbox.altostrat.com et staging.sandbox.altostrat.com) s'affichent.
Domaines frères:tous les domaines frères et sœurs vus dans votre organisation pour un Nom de domaine complet donné à un niveau donné. Exemple :
- Recherchez sandbox.altostrat.com.
- 1 domaine frère (foo.altostrat.com) s'affiche

Chronologie

L'onglet Chronologie liste tous les événements ayant lieu sur le domaine. La colonne Identifiant d'élément affiche l'ID de l'élément. Dans de rares cas, Google Security Operations remplace l'ID de l'élément par son adresse IP.

Remarques

Les limitations suivantes s'appliquent à l'affichage du domaine:

Seuls 1 000 événements peuvent être affichés dans cette vue.
Vous ne pouvez filtrer que les événements affichés dans cette vue.
Seuls les types d'événements DNS, EDR et Webproxy sont renseignés dans cette vue. Les informations "Première occurrence" et "Dernière occurrence" renseignées dans cette vue sont également limitées à ces types d'événements.
Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans dans les journaux bruts et les recherches UDM.