Se usó la API de Cloud Translation para traducir esta página.

Investigar un dominio

Compatible con:

Google SecOps SIEM

Google Security Operations te permite investigar dominios específicos para determinar si hay alguno en tu empresa y qué impacto podrían haber tenido estos sistemas externos en tus recursos.

Para acceder a la vista Dominio en Operaciones de seguridad de Google, completa los siguientes pasos:

Ingresa el dominio (que termina con un sufijo público conocido) o la URL en la barra de búsqueda de la página de destino de Google Security Operations.
Haz clic en Buscar. Si el dominio está presente en tu empresa, aparecerá en la sección Dominios. Haz clic en el vínculo del nombre de dominio para cambiar a la vista Dominio. Si el dominio está presente en tu empresa, se mostrará información adicional en la vista Dominio. Si el dominio no está presente, la vista Dominio estará vacía.

Nota: La búsqueda de la AUA proporciona funciones mejoradas que te permiten realizar investigaciones más exhaustivas de los eventos y las alertas dentro de tu instancia de Google Security Operations de lo que es posible con solo la vista Dominio. Para obtener más información, consulta Búsqueda de UDM.

Contexto del sector

La vista de dominio muestra el contexto sobre el dominio consultado, incluidas las referencias en los datos de registro transferidos, así como los enriquecimientos externos y de terceros de fuentes como VirusTotal.

Contexto de VT

Haz clic en Contexto de VT para ver la información de VirusTotal disponible para este dominio.

WHOIS

Google Security Operations muestra la información de WHOIS asociada con el dominio registrado. Esta información puede ser útil cuando se evalúa la reputación de un dominio.

Prevalencia

Google Security Operations proporciona una representación gráfica de la prevalencia histórica de un FQDN determinado y su TLD. Este gráfico se puede usar para determinar si se accedió al dominio desde la empresa antes y puede indicar si el dominio está asociado con una campaña en particular segmentada para la empresa. Por lo general, los dominios menos frecuentes, a los que se conectaron menos recursos, pueden representar una amenaza mayor para tu empresa.

Cuando mantienes el puntero sobre una barra en el gráfico Prevalence, el gráfico muestra una lista de los recursos que accedieron al dominio. Debido a la alta prevalencia de los servidores DNS, no se incluyen en la lista. Si todos los recursos son servidores DNS, no se enumeran ninguno.

Estadísticas del dominio

Las estadísticas de dominios te proporcionan más contexto sobre los dominios en investigación. Puedes usarlos para determinar si un dominio es benigno o malicioso. También te permiten investigar más un indicador para determinar si hay un compromiso más amplio.

Las estadísticas de dominio que se muestran varían según la disponibilidad de la información asociada con el dominio en tu cuenta de Operaciones de seguridad de Google, pero pueden incluir lo siguiente:

ET Intelligence Rep List: Realiza verificaciones en la lista de representantes de inteligencia de amenazas emergentes (ET) de ProofPoint y enumera las amenazas conocidas vinculadas a direcciones IP y dominios específicos.
ESET Threat Intelligence: Realiza verificaciones en el servicio de inteligencia sobre amenazas de ESET.
IP resueltas: Son todas las direcciones IP resueltas que se vieron en tu organización para un nombre de dominio completamente calificado determinado. Por ejemplo:
- Busca test.altostrat.com (nombre de dominio completamente calificado).
- Se muestran 2 IPs resueltas (198.51.100.81 y 203.0.113.81).
Subdominios asociados: Son todos los subdominios asociados que se vieron en tu organización para un nombre de dominio completamente calificado determinado. Muchos adversarios usan el mismo dominio y subdominio para sus ataques. Por ejemplo:
- Busca sandbox.altostrat.com (nombre de dominio completamente calificado).
- Se muestran 2 subdominios (test.sandbox.altostrat.com y staging.sandbox.altostrat.com).
Dominios hermanos: Son todos los dominios hermanos que se vieron en tu organización para un nombre de dominio completamente calificado determinado en un nivel determinado. Por ejemplo:
- Busca sandbox.altostrat.com
- Se muestra 1 dominio hermano (foo.altostrat.com)

Cronograma

En la pestaña Cronología, se enumeran todos los eventos del dominio. La columna Identificador de activo muestra el ID del activo. En algunos casos, Google Security Operations reemplaza el ID del activo por la dirección IP del activo.

Consideraciones

La vista de dominio tiene las siguientes limitaciones:

Solo se pueden mostrar 1,000 eventos en esta vista.
Solo puedes filtrar los eventos que se muestran en esta vista.
Solo se completan los tipos de eventos de DNS, EDR y Webproxy en esta vista. La información de la primera y la última vez que se vio que se propaga en esta vista también se limita a estos tipos de eventos.
Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en las búsquedas de registros sin procesar y de la AUA.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.