Esta página foi traduzida pela API Cloud Translation.

Investigar um domínio

Compatível com:

Google SecOps SIEM

O Google Security Operations permite investigar domínios específicos para determinar se alguns estão presentes na sua empresa e qual impacto esses sistemas externos podem ter nos seus recursos.

Para acessar a visualização Domínio no Google Security Operations, siga estas etapas:

Insira o domínio (que termina com um sufixo público conhecido) ou o URL na barra de pesquisa da página de destino do Google Security Operations.
Clique em Pesquisar. Se o domínio estiver presente na sua empresa, ele será listado no título Domínios. Clique no link do nome do domínio para mudar para a visualização Domain. Se o domínio estiver presente na sua empresa, outras informações serão exibidas na visualização Domínio. Se o domínio não estiver presente, a visualização Domínio vai ficar vazia.

Observação: a pesquisa de UDM oferece recursos aprimorados que permitem realizar investigações mais detalhadas dos eventos e alertas na sua instância do Google Security Operations do que é possível usando apenas a visualização Domain. Para mais informações, consulte Pesquisa de UDM.

contexto sobre o domínio

A visualização de domínio mostra o contexto do domínio consultado, incluindo referências em dados de registro ingeridos, além de enriquecimentos externos e de terceiros de fontes como o VirusTotal.

Contexto de VT

Clique em Contexto do VT para conferir as informações do VirusTotal disponíveis para esse domínio.

WHOIS

As Operações de segurança do Google mostram as informações do WHOIS associadas ao domínio registrado. Essas informações podem ser úteis ao avaliar a reputação de um domínio.

Prevalência

O Google Security Operations fornece uma representação gráfica da prevalência histórica de um determinado FQDN e do TLD dele. Esse gráfico pode ser usado para determinar se o domínio já foi acessado dentro da empresa e pode indicar se o domínio está associado a uma campanha específica direcionada à empresa. Normalmente, domínios menos comuns, aqueles que menos recursos se conectaram, podem representar uma ameaça maior para sua empresa.

Quando você passa o cursor sobre uma barra no gráfico Prevalence, ele lista os recursos que acessaram o domínio. Devido à alta prevalência de servidores DNS, eles não são listados. Se todos os recursos forem servidores DNS, nenhum recurso será listado.

Insights sobre domínios

Os insights de domínio oferecem mais contexto sobre os domínios em investigação. Eles podem ser usados para determinar se um domínio é benigno ou malicioso. Elas também permitem investigar melhor um indicador para determinar se há uma violação mais ampla.

Os insights de domínio exibidos variam de acordo com a disponibilidade de informações associadas ao domínio na sua conta de operações de segurança do Google, mas podem incluir o seguinte:

Lista de informações de ameaças emergentes (ET):verifica a lista de informações de ameaças emergentes (ET) da ProofPoint e lista ameaças conhecidas vinculadas a endereços IP e domínios específicos.
ESET Threat Intelligence:verifica se há correspondências com o serviço de inteligência de ameaças da ESET.
Endereços IP resolvidos:todos os endereços IP resolvidos que foram encontrados na sua organização para um determinado nome de domínio totalmente qualificado. Exemplo:
- Pesquise test.altostrat.com (nome de domínio totalmente qualificado)
- Dois IPs resolvidos (198.51.100.81 e 203.0.113.81) são mostrados
Subdomínios associados:todos os subdomínios associados que foram encontrados na organização para um determinado nome de domínio totalmente qualificado. Muitos adversários usam o mesmo domínio e subdomínio para os ataques. Exemplo:
- Pesquise sandbox.altostrat.com (nome de domínio totalmente qualificado)
- Dois subdomínios (test.sandbox.altostrat.com e staging.sandbox.altostrat.com) são exibidos.
Domínios irmãos:todos os domínios irmãos que foram encontrados na sua organização para um determinado nome de domínio totalmente qualificado em um determinado nível. Exemplo:
- Pesquise sandbox.altostrat.com
- Um domínio irmão (foo.altostrat.com) é exibido.

Cronograma

A guia Linha do tempo lista todos os eventos do domínio. A coluna Identificador do recurso mostra o ID do recurso. Em alguns casos, as Operações de segurança do Google substituem o ID do recurso pelo endereço IP dele.

Considerações

A visualização de domínio tem as seguintes limitações:

Apenas 1.000 eventos podem ser exibidos nessa visualização.
Só é possível filtrar os eventos que aparecem nessa visualização.
Somente os tipos de evento DNS, EDR e Webproxy são preenchidos nessa visualização. As informações de primeira e última visualização preenchidas nessa visualização também são limitadas a esses tipos de evento.
Os eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles aparecem apenas em registros brutos e pesquisas da UDM.