Esta página foi traduzida pela API Cloud Translation.

Investigar um domínio

Compatível com:

Google SecOps SIEM

O Google Security Operations permite investigar domínios específicos para determinar se estão presentes na empresa e o impacto desses sistemas externos poderia ter tido em seus ativos.

Para acessar a visualização Domínio nas Operações de segurança do Google, siga estas etapas:

Insira o domínio (terminando com um sufixo público conhecido) ou o URL na pesquisa na página de destino das Operações de segurança do Google.
Clique em Pesquisar. Se o domínio estiver presente na sua empresa, ele será listado sob o título Domínios. Clique no link do nome do domínio para dinamizar Domínio. Se o domínio estiver presente na sua empresa, outras informações serão exibidas na visualização Domínio. Se o domínio não estiver presente, Domain estará vazia.

Observação: a pesquisa UDM oferece recursos avançados que permitem conduzir investigações mais completas dos eventos e alertas em sua instância do Google Security Operations do que é possível usando apenas a visualização Domain. Para mais informações, consulte Pesquisa de UDM.

contexto sobre o domínio

A visualização de domínio mostra o contexto do domínio consultado, incluindo referências em dados de registro ingeridos, além de enriquecimentos externos e de terceiros de fontes como o VirusTotal.

Contexto VT

Clique em Contexto do VT para conferir as informações do VirusTotal disponíveis para esse domínio.

WHOIS

As Operações de segurança do Google mostram WHOIS informações associadas ao domínio registrado. Essas informações podem ser úteis ao avaliar a reputação de um domínio.

Prevalência

As Operações de segurança do Google oferecem uma representação gráfica dos prevalência de um determinado FQDN e seu TLD. Esse gráfico pode ser usado para determinar se o domínio já foi acessado de dentro da empresa e pode indicar se o domínio está associado a uma determinada que segmentam a empresa. Normalmente, domínios menos comuns, aqueles a que menos recursos se conectaram, podem representar uma ameaça maior para sua empresa.

Quando você coloca o ponteiro sobre uma barra no gráfico de Prevalência, o gráfico lista os recursos que acessaram o domínio. Devido à alta prevalência de DNS servidores, eles não serão listados. Se todos os recursos forem servidores DNS, nenhum recurso será listado.

Insights do domínio

Os insights de domínio oferecem mais contexto sobre os domínios em investigação. É possível usá-las para determinar se um domínio é benigno ou malicioso. Eles também permitem que você investigue mais a fundo um indicador para determinar se há um problema os indicadores de comprometimento.

Os insights de domínio exibidos variam de acordo com a disponibilidade de informações associadas ao domínio na sua conta de operações de segurança do Google, mas podem incluir o seguinte:

Lista de relatórios de inteligência de ameaças emergentes: verifica a lista de relatórios de inteligência de ameaças emergentes (ET, na sigla em inglês) da ProofPoint e lista ameaças conhecidas vinculadas a endereços IP e domínios específicos.
ESET Threat Intelligence: Verifica o serviço de inteligência sobre ameaças da ESET.
Endereços IP resolvidos: todos os endereços IP resolvidos que foram encontrados na sua organização para um determinado nome de domínio totalmente qualificado. Exemplo:
- Pesquise test.altostrat.com (nome de domínio totalmente qualificado)
- 2 IPs resolvidos (198.51.100.81 e 203.0.113.81) são exibidos
Subdomínios associados: todos os subdomínios associados que foram encontrados na organização para um determinado nome de domínio totalmente qualificado. Muitos adversários usam o mesmo domínio e subdomínio para os ataques. Exemplo:
- Pesquise sandbox.altostrat.com (nome de domínio totalmente qualificado)
- Dois subdomínios (test.sandbox.altostrat.com e staging.sandbox.altostrat.com) são exibidos.
Domínios irmãos: todos os domínios irmãos que foram encontrados na sua organização para um determinado nome de domínio totalmente qualificado em um determinado nível. Exemplo:
- Pesquisar sandbox.altostrat.com
- Um domínio irmão (foo.altostrat.com) é exibido.

Cronograma

A guia Cronograma lista todos os eventos do domínio. A coluna Identificador do recurso mostra o ID do recurso. Em um pequeno número de casos, as Operações de segurança do Google substituem o ID do recurso pelo endereço IP do recurso.

Considerações

A visualização de domínio tem as seguintes limitações:

Apenas 1.000 eventos podem ser exibidos nessa visualização.
Só é possível filtrar os eventos que aparecem nessa visualização.
Somente os tipos de evento DNS, EDR e Webproxy são preenchidos nessa visualização. As informações preenchidas pela primeira e última visualização nessa visualização também são limitadas a esses tipos de evento.
Os eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles aparecem apenas em registros brutos e pesquisas da UDM.