Cette page a été traduite par l'API Cloud Translation.

Examiner un domaine

Compatible avec:

Google SecOps SIEM

Google Security Operations vous permet d'examiner des domaines spécifiques pour déterminer s'ils sont présents dans votre entreprise et quel impact ces systèmes externes ont pu avoir sur vos ressources.

Pour accéder à la vue Domaine dans Google Security Operations, procédez comme suit:

Saisissez le domaine (se terminant par un suffixe public connu) ou l'URL dans la barre de recherche de la page de destination de Google Security Operations.
Cliquez sur Rechercher. Si le domaine est présent dans votre entreprise, il est listé sous l'en-tête Domains (Domaines). Cliquez sur le lien du nom de domaine pour passer à la vue Domaine. Si le domaine est présent dans votre entreprise, des informations supplémentaires s'affichent dans la vue Domaine. Si le domaine n'est pas présent, la vue Domaine est vide.

Remarque :La recherche UDM offre des fonctionnalités améliorées qui vous permettent d'effectuer des investigations plus approfondies des événements et des alertes dans votre instance Google Security Operations que ce qui est possible avec la vue Domaine seule. Pour en savoir plus, consultez la section Recherche dans UDM.

Contexte de domaine

La vue "Domaine" affiche le contexte du domaine interrogé, y compris les références dans les données de journal ingérées, ainsi que les enrichissements tiers et externes provenant de sources telles que VirusTotal.

Contexte VT

Cliquez sur Contexte VT pour afficher les informations VirusTotal disponibles pour ce domaine.

WHOIS

Google Security Operations affiche les informations WHOIS associées au domaine enregistré. Ces informations peuvent être utiles pour évaluer la réputation d'un domaine.

Prévalence

Google Security Operations fournit une représentation graphique de l'historique de la prévalence d'un FQDN donné et de son TLD. Ce graphique permet de déterminer si le domaine a déjà été consulté depuis l'entreprise et peut indiquer si le domaine est associé à une campagne spécifique ciblant l'entreprise. En règle générale, les domaines moins courants, auxquels moins d'éléments sont connectés, peuvent représenter une menace plus importante pour votre entreprise.

Lorsque vous maintenez le pointeur sur une barre du graphique Prévalence, le graphique liste les composants ayant accédé au domaine. En raison de la forte prévalence des serveurs DNS, ils ne sont pas listés. Si tous les éléments sont des serveurs DNS, aucun élément n'est listé.

Insights sur le domaine

Les insights sur les domaines vous fournissent plus de contexte sur les domaines en cours d'examen. Vous pouvez les utiliser pour déterminer si un domaine est inoffensif ou malveillant. Elles vous permettent également d'examiner plus en détail un indicateur pour déterminer s'il existe un piratage plus large.

Les insights sur le domaine affichés varient en fonction de la disponibilité des informations associées au domaine dans votre compte Google Security Operations, mais peuvent inclure les éléments suivants:

Liste de représentants de l'intelligence sur les menaces émergentes:vérifie la liste de représentants de l'intelligence sur les menaces émergentes (ET) de ProofPoint et liste les menaces connues associées à des adresses IP et des domaines spécifiques.
ESET Threat Intelligence:vérifications effectuées par le service de renseignement sur les menaces d'ESET.
Adresses IP résolues:toutes les adresses IP résolues qui ont été détectées dans votre organisation pour un nom de domaine complet donné. Exemple :
- Recherchez test.altostrat.com (nom de domaine complet).
- Deux adresses IP résolues (198.51.100.81 et 203.0.113.81) s'affichent
Sous-domaines associés:tous les sous-domaines associés qui ont été détectés dans votre organisation pour un nom de domaine complet donné. De nombreux pirates informatiques utilisent le même domaine et le même sous-domaine pour leurs attaques. Exemple :
- Recherchez sandbox.altostrat.com (nom de domaine complet).
- Deux sous-domaines (test.sandbox.altostrat.com et staging.sandbox.altostrat.com) sont affichés.
Domaines frères:tous les domaines frères détectés dans votre organisation pour un nom de domaine complet donné à un niveau donné. Exemple :
- Recherchez sandbox.altostrat.com.
- Un domaine frère (foo.altostrat.com) s'affiche

Chronologie

L'onglet Chronologie répertorie tous les événements du domaine. La colonne Identifiant de l'élément indique l'ID de l'élément. Dans un petit nombre de cas, Google Security Operations remplace l'ID de l'asset par son adresse IP.

Remarques

La vue du domaine présente les limites suivantes:

Seuls 1 000 événements peuvent être affichés dans cette vue.
Vous ne pouvez filtrer que les événements affichés dans cette vue.
Seuls les types d'événements DNS, EDR et Webproxy sont renseignés dans cette vue. Les informations sur la première et la dernière fois que l'utilisateur a été vu dans cette vue sont également limitées à ces types d'événements.
Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les recherches de journaux bruts et UDM.