Esta página foi traduzida pela API Cloud Translation.

Investigar um domínio

As Operações de segurança do Google permitem investigar domínios específicos para determinar se há algum na sua empresa e que impacto esses sistemas externos podem ter tido nos seus recursos.

Para acessar a visualização Domínio nas Operações de segurança do Google, siga estas etapas:

Insira o domínio (que termina com um sufixo público conhecido) ou o URL na barra de pesquisa da página de destino das Operações de segurança do Google.
Clique em Pesquisar. Se o domínio estiver presente na sua empresa, ele será listado no título Domínios. Clique no link do nome de domínio para alternar para a visualização Domínio. Se o domínio estiver presente na sua empresa, mais informações serão exibidas na visualização Domínio. Se não houver um domínio, a visualização Domain estará vazia.

Observação: a pesquisa UDM oferece recursos aprimorados que permitem realizar investigações mais completas dos eventos e alertas na instância do Google Security Operations do que é possível usando apenas a visualização Domain. Para mais informações, consulte Pesquisa de UDM.

contexto sobre o domínio

A visualização do domínio mostra o contexto sobre o domínio consultado, para incluir referências em dados de registro ingeridos, bem como enriquecimentos externos e de terceiros de fontes como o VirusTotal.

Contexto VT

Clique em Contexto VT para ver as informações do VirusTotal disponíveis para este domínio.

WHOIS

O Google Security Operations exibe as informações do WHOIS associadas ao domínio registrado. Essas informações podem ser úteis ao avaliar a reputação de um domínio.

Prevalência

As Operações de segurança do Google fornecem uma representação gráfica da prevalência histórica de um determinado FQDN e seu TLD. Esse gráfico pode ser usado para determinar se o domínio já foi acessado de dentro da empresa e pode fornecer uma indicação se o domínio está associado a uma campanha específica que segmenta a empresa. Normalmente, domínios menos prevalentes, com menos recursos conectados, podem representar uma ameaça maior para sua empresa.

Quando você coloca o ponteiro sobre uma barra no gráfico Prevalence, o gráfico lista os recursos que acessaram o domínio. Devido à alta prevalência de servidores DNS, eles não são listados. Se todos os recursos forem servidores DNS, nenhum recurso será listado.

Insights do domínio

Com os insights de domínios, você tem mais contexto sobre os domínios que estão sob investigação. É possível usá-las para determinar se um domínio é benigno ou malicioso. Eles também permitem investigar melhor um indicador para determinar se há um comprometimento mais amplo.

Os insights de domínio exibidos variam de acordo com a disponibilidade das informações associadas ao domínio na sua conta do Google Security Operations, mas podem incluir o seguinte:

Lista de representantes de inteligência do ET: verifica a lista de representantes de inteligência sobre ameaças emergentes (ET) da ProofPoint e lista ameaças conhecidas vinculadas a endereços IP e domínios específicos.
ESET Threat Intelligence:verifica o serviço de inteligência contra ameaças da ESET.
IPs resolvidos: todos os endereços IP resolvidos que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Exemplo:
- Pesquise test.altostrat.com (nome de domínio totalmente qualificado)
- 2 IPs resolvidos (198.51.100.81 e 203.0.113.81) são exibidos
Subdomínios associados: todos os subdomínios associados que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Muitos adversários usam o mesmo domínio e subdomínio para os ataques. Exemplo:
- Pesquise sandbox.altostrat.com (nome de domínio totalmente qualificado)
- Dois subdomínios (test.sandbox.altostrat.com e staging.sandbox.altostrat.com) são exibidos
Domínios irmãos:todos os domínios irmãos que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado em um determinado nível. Exemplo:
- Pesquisar sandbox.altostrat.com
- 1 domínio irmão (foo.altostrat.com) é exibido

Cronograma

A guia Cronograma lista todos os eventos do domínio. A coluna Identificador do recurso mostra o ID do recurso. Em um pequeno número de casos, as Operações de segurança do Google substituem o ID do recurso pelo endereço IP do recurso.

Considerações

A visualização do domínio tem as seguintes limitações:

Somente 1.000 eventos podem ser exibidos nessa visualização.
Só é possível filtrar eventos que são exibidos nessa vista da propriedade.
Somente os tipos de evento DNS, EDR e Webproxy são preenchidos nessa visualização. As informações preenchidas pela primeira vez e pela última vez exibidas nessa visualização também estão limitadas a esses tipos de evento.
Eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles só aparecem em registros brutos e pesquisas de UDM.