Domain prüfen
Mit Google Security Operations können Sie bestimmte Domains untersuchen, um festzustellen, und welche Auswirkungen sie auf diese externen Systeme haben, auf Ihre Assets hatten.
Führen Sie die folgenden Schritte aus, um in Google Security Operations auf die Ansicht Domain zuzugreifen:
Domain (mit einem bekannten öffentlichen Suffix) oder URL in die Suche eingeben auf der Google Security Operations-Landingpage.
Klicken Sie auf Suchen. Wenn die Domain in Ihrem Unternehmen vorhanden ist, wird sie unter der Überschrift Domains. Klicken Sie auf den Link für den Domainnamen, zu dem gewechselt werden soll. Ansicht Domain: Wenn die Domain in Ihrem Unternehmen vorhanden ist, werden zusätzliche werden in der Ansicht Domain angezeigt. Ist die Domain nicht vorhanden, Die Ansicht Domain ist leer.
Domainkontext
In der Domainansicht wird Kontext zur abgefragten Domain angezeigt, um Referenzen in aufgenommenen Logdaten sowie Daten, die durch Dritte und externe Quellen angereichert wurden, VirusTotal
VT-Kontext
Klicken Sie auf VT Context, um die dafür verfügbaren VirusTotal-Informationen aufzurufen. .
WHOIS
Google Security Operations zeigt WHOIS Informationen, die mit der registrierten Domain verknüpft sind. Diese Informationen können bei der Bewertung des Rufs einer Domain.
Verbreitung
Google Security Operations bietet eine grafische Darstellung Häufigkeit eines bestimmten FQDN und seiner TLD. Anhand dieser Grafik lässt sich ermitteln, ob bisher vom Unternehmen aus auf die Domain zugegriffen wurde angeben, ob die Domain mit einer bestimmten Kampagne, die auf das Unternehmen ausgerichtet ist. In der Regel weniger verbreitete Domains, mit weniger Assets verbunden ist, kann das eine größere Bedrohung für Ihr Unternehmen Unternehmen.
Wenn Sie den Mauszeiger auf einen Balken im Prävalenzdiagramm bewegen, wird das Diagramm werden die Assets aufgelistet, über die auf die Domain zugegriffen wurde. Aufgrund der hohen Verbreitung von DNS Server sind sie nicht aufgeführt. Wenn alle Assets DNS-Server sind, werden keine Assets aufgeführt sind.
Domainstatistiken
Domainstatistiken liefern Ihnen mehr Kontext zu den Domains, die derzeit geprüft werden. Sie können damit ermitteln, ob eine Domain harmlos oder schädlich ist. Außerdem können Sie einen Indikator weiter untersuchen, um festzustellen, Kompromisse einzugehen.
Welche Statistiken zur Domain angezeigt werden, hängt von der Verfügbarkeit der Informationen ab. die mit der Domain in Ihrem Google Security Operations-Konto verknüpft sind, umfassen Folgendes:
ET Intelligence Rep List: Prüfung auf neue Bedrohungen von ProofPoint Intelligence Rep List (ET) – Liste der bekannten Bedrohungen für bestimmte IP-Adressen Adressen und Domains.
ESET Threat Intelligence: Prüft auf den Threat Intelligence-Dienst von ESET.
Aufgelöste IP-Adressen:Alle aufgelösten IP-Adressen, die in Ihrem Organisation für einen bestimmten voll qualifizierten Domainnamen. Beispiel:
- Suchen Sie nach test.altostrat.com (Fully Qualified Domain Name)
- Es werden zwei aufgelöste IP-Adressen (198.51.100.81 und 203.0.113.81) angezeigt
Verknüpfte Subdomains:Alle zugehörigen Subdomains, die in Ihre Organisation für einen bestimmten voll qualifizierten Domainnamen erhalten. Viele Angreifer dieselbe Domain und Subdomain für ihre Angriffe verwenden. Beispiel:
- Suchen Sie nach sandbox.altostrat.com (Fully Qualified Domain Name)
- 2 Subdomains (test.sandbox.altostrat.com und staging.sandbox.altostrat.com).
Geschwisterdomains: Alle ähnlichen Domains, die in Ihren Organisation für einen voll qualifizierten Domainnamen auf einer bestimmten Ebene. Beispiel:
- Suche nach sandbox.altostrat.com
- 1 untergeordnete Domain (foo.altostrat.com) wird angezeigt
Zeitachse
Auf dem Tab Zeitachse sind alle Ereignisse für die Domain aufgeführt. In der Spalte Asset-ID wird die Asset-ID angezeigt. In einigen wenigen Fällen ersetzt Google Security Operations die Asset-ID durch die IP-Adresse des Assets.
Hinweise
Die Domainansicht unterliegt den folgenden Einschränkungen:
- In dieser Ansicht können nur 1.000 Ereignisse angezeigt werden.
- Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
- In dieser Ansicht werden nur die Ereignistypen DNS, EDR und Webproxy dargestellt. Die Informationen „zuerst gesehen“ und „zuletzt gesehen“ in dieser Ansicht sind ebenfalls eingeschränkt zu diesen Ereignistypen hinzufügen.
- Allgemeine Ereignisse werden in den ausgewählten Ansichten nicht angezeigt. Sie erscheinen nur in mit unformatierten Log- und UDM-Suchanfragen.