Halaman ini diterjemahkan oleh Cloud Translation API.

Menyelidiki domain

Didukung di:

Google SecOps SIEM

Google Security Operations memungkinkan Anda menyelidiki domain tertentu untuk menentukan apakah ada domain tersebut dalam perusahaan Anda, dan dampak yang mungkin ditimbulkan oleh sistem luar ini terhadap aset Anda.

Untuk mengakses tampilan Domain di Google Security Operations, selesaikan langkah-langkah berikut:

Masukkan domain (berakhiran dengan akhiran publik yang diketahui) atau URL di kotak penelusuran di halaman landing Google Security Operations.
Klik Telusuri. Jika domain ada di perusahaan Anda, domain tersebut akan dicantumkan di bagian judul Domain. Klik link nama domain untuk beralih ke tampilan Domain. Jika domain ada dalam perusahaan Anda, informasi tambahan akan ditampilkan di tampilan Domain. Jika domain tidak ada, tampilan Domain akan kosong.

Catatan: Penelusuran UDM memberikan kemampuan yang ditingkatkan sehingga Anda dapat melakukan investigasi yang lebih menyeluruh terhadap peristiwa dan pemberitahuan dalam instance Google Security Operations daripada yang dapat dilakukan menggunakan tampilan Domain saja. Untuk mengetahui informasi selengkapnya, lihat Penelusuran UDM.

Konteks domain

Tampilan domain menampilkan konteks tentang domain yang dikueri, untuk menyertakan referensi dalam data log yang ditransfer serta pengayaan pihak ketiga dan eksternal dari sumber seperti VirusTotal.

Konteks VT

Klik Konteks VT untuk melihat informasi VirusTotal yang tersedia untuk domain ini.

WHOIS

Google Security Operations menampilkan informasi WHOIS yang terkait dengan domain terdaftar. Informasi ini dapat berguna saat menilai reputasi domain.

Prevalensi

Google Security Operations memberikan representasi grafis dari prevalensi historis FQDN tertentu dan TLD-nya. Grafik ini dapat digunakan untuk menentukan apakah domain telah diakses dari dalam perusahaan sebelumnya, dan dapat memberikan indikasi apakah domain dikaitkan dengan kampanye tertentu yang menargetkan perusahaan. Biasanya, domain yang kurang umum, yang terhubung dengan lebih sedikit aset, mungkin mewakili ancaman yang lebih besar bagi perusahaan Anda.

Saat Anda menahan kursor ke batang pada grafik Prevalensi, grafik akan mencantumkan aset yang mengakses domain. Karena tingginya prevalensi server DNS, server tersebut tidak tercantum. Jika semua aset adalah server DNS, tidak ada aset yang tercantum.

Insight domain

Insight domain memberi Anda lebih banyak konteks tentang domain yang sedang diselidiki. Anda dapat menggunakannya untuk menentukan apakah domain tersebut berbahaya atau tidak. Laporan ini juga memungkinkan Anda menyelidiki indikator lebih lanjut untuk menentukan apakah ada kompromi yang lebih luas.

Insight domain yang ditampilkan bervariasi bergantung pada ketersediaan informasi yang terkait dengan domain dalam akun Google Security Operations Anda, tetapi dapat mencakup hal berikut:

ET Intelligence Rep List: Memeriksa terhadap ET Intelligence Rep List (Daftar Rep Intelijen Ancaman Baru) ProofPoint dan mencantumkan ancaman yang diketahui terkait dengan alamat IP dan domain tertentu.
ESET Threat Intelligence: Memeriksa terhadap layanan kecerdasan ancaman ESET.
IP yang Di-resolve: Semua alamat IP yang di-resolve yang telah dilihat di organisasi Anda untuk Nama Domain yang Memenuhi Syarat tertentu. Contoh:
- Telusuri test.altostrat.com (Nama Domain yang Sepenuhnya Memenuhi Syarat)
- 2 IP yang di-resolve (198.51.100.81 dan 203.0.113.81) ditampilkan
Subdomain terkait: Semua subdomain terkait yang telah dilihat di organisasi Anda untuk Nama Domain yang Sepenuhnya Memenuhi Syarat tertentu. Banyak penyerang menggunakan domain dan subdomain yang sama untuk serangan mereka. Contoh:
- Telusuri sandbox.altostrat.com (Nama Domain yang Sepenuhnya Memenuhi Syarat)
- 2 subdomain (test.sandbox.altostrat.com dan staging.sandbox.altostrat.com) ditampilkan
Domain Sejenis: Semua domain sejenis yang telah dilihat di organisasi Anda untuk Nama Domain yang Sepenuhnya Memenuhi Syarat (FQDN) tertentu pada tingkat tertentu. Misalnya:
- Telusuri sandbox.altostrat.com
- 1 domain selevel (foo.altostrat.com) ditampilkan

Linimasa

Tab Linimasa mencantumkan semua peristiwa untuk domain. Kolom ID aset menampilkan ID aset. Dalam beberapa kasus, Google Security Operations mengganti ID aset dengan alamat IP aset.

Pertimbangan

Tampilan domain memiliki batasan berikut:

Hanya 1.000 peristiwa yang dapat ditampilkan dalam tampilan ini.
Anda hanya dapat memfilter peristiwa yang ditampilkan di tampilan ini.
Hanya jenis peristiwa DNS, EDR, dan Webproxy yang diisi di tampilan ini. Informasi pertama kali dilihat dan terakhir dilihat yang diisi dalam tampilan ini juga dibatasi untuk jenis peristiwa ini.
Peristiwa generik tidak muncul di tampilan pilihan mana pun. Log ini hanya muncul dalam log mentah dan penelusuran UDM.