Questa pagina è stata tradotta dall'API Cloud Translation.

Indagine su un dominio

Google Security Operations consente di esaminare domini specifici per determinare se presenti all'interno della tua azienda e quale impatto hanno questi sistemi esterni che avrebbero avuto sulle tue risorse.

Per accedere alla visualizzazione Dominio in Google Security Operations, completa i seguenti passaggi:

Inserisci il dominio (che termina con un suffisso pubblico noto) o l'URL nella ricerca sulla pagina di destinazione di Google Security Operations.
Fai clic su Cerca. Se il dominio è presente nella tua azienda, viene elencato sotto l'intestazione Domini. Fai clic sul link del nome di dominio a cui vuoi passare Vista Dominio. Se il dominio è presente all'interno della tua azienda, verranno aggiunte vengono mostrate nella vista Dominio. Se il dominio non è presente, La vista Dominio sarà vuota.

Nota: la ricerca UDM offre funzionalità avanzate che ti consentono di condurre indagini più approfondite sugli eventi e sugli avvisi all’interno del tuo di Google Security Operations rispetto a quanto possibile utilizzando la sola vista Dominio. Per per ulteriori informazioni, consulta la pagina relativa alla ricerca UDM.

Contesto del dominio

La visualizzazione Dominio mostra il contesto relativo al dominio sottoposto a query, per includere i riferimenti importati dai log, nonché arricchimenti esterni ed esterni da origini come VirusTotal.

Contesto VT

Fai clic su VT Context per visualizzare le informazioni di VirusTotal disponibili per questa funzionalità. dominio.

WHOIS

Google Security Operations visualizza OMS le informazioni associate al dominio registrato. Queste informazioni possono essere utile per valutare la reputazione di un dominio.

Prevalenza

Google Security Operations fornisce una rappresentazione grafica dei dati storici prevalenza di un determinato nome di dominio completo e del relativo dominio di primo livello. Questo grafico può essere utilizzato per determinare se è già stato eseguito l'accesso al dominio dall'interno dell'azienda e forniscono un'indicazione se il dominio è associato a un particolare una campagna indirizzata all'azienda. In genere, si tratta di domini meno diffusi, ovvero quelli che a cui sono collegati meno risorse, ciò potrebbe rappresentare una minaccia maggiore per la tua per l'azienda.

Quando tieni il puntatore sopra una barra del grafico Prevalenza, il grafico elenca gli asset che hanno eseguito l'accesso al dominio. A causa dell'elevata diffusione del DNS e server web, non sono elencati. Se tutti gli asset sono server DNS, nessun asset viene in elenco.

Insight sul dominio

Gli insight sui domini forniscono un contesto più ampio sui domini oggetto dell'indagine. Puoi utilizzarle per determinare se un dominio è benigno o dannoso. Inoltre, ti consentono di esaminare ulteriormente un indicatore per determinare se esiste una degli utenti.

Gli insight sui domini visualizzati variano a seconda della disponibilità delle informazioni associati al dominio nel tuo account Google Security Operations, ma potrebbe include:

ET Intelligence Rep List: controlli delle minacce emergenti di ProofPoint (ET) Intelligence Rep List ed elenca le minacce note legate a IP specifici indirizzi IP e domini.
ESET Threat Intelligence: Verifiche con il servizio di intelligence sulle minacce di ESET.
IP risolti:tutti gli indirizzi IP risolti che sono stati rilevati nel tuo organizzazione per un determinato Nome di dominio completo. Ad esempio:
- Cerca test.altostrat.com (nome di dominio completo)
- Vengono visualizzati 2 IP risolti (198.51.100.81 e 203.0.113.81)
Sottodomini associati:tutti i sottodomini associati che sono stati visualizzati in dell'organizzazione per un determinato Nome di dominio completo. Molti avversari usano lo stesso dominio e sottodominio per i loro attacchi. Ad esempio:
- Cerca sandbox.altostrat.com (nome di dominio completo)
- due sottodomini (test.sandbox.altostrat.com e staging.sandbox.altostrat.com) siano visualizzati
Domini di pari livello:tutti i domini di pari livello individuati nel tuo account. organizzazione per un determinato nome di dominio completo a un determinato livello. Per esempio:
- Cerca sandbox.altostrat.com
- Viene visualizzato 1 dominio di pari livello (foo.altostrat.com)

Cronologia

La scheda Sequenza temporale elenca tutti gli eventi relativi al dominio. La colonna Identificatore risorsa mostra l'ID risorsa. In un numero limitato di casi, Google Security Operations sostituisce l'ID risorsa con l'indirizzo IP della risorsa.

Considerazioni

La vista dominio presenta le seguenti limitazioni:

In questa visualizzazione possono essere visualizzati solo 1000 eventi.
Puoi filtrare solo gli eventi mostrati in questa visualizzazione.
In questa vista vengono inseriti solo i tipi di evento DNS, EDR e Webproxy. Anche le informazioni relative alla prima e all'ultima visualizzazione compilate in questa visualizzazione sono limitate a questi tipi di eventi.
Gli eventi generici non vengono mostrati in nessuna delle visualizzazioni selezionate. Appaiono solo in log non elaborati e ricerche UDM.