Questa pagina è stata tradotta dall'API Cloud Translation.

Indagine su un dominio

Supportato in:

Google SecOps SIEM

Google Security Operations ti consente di esaminare domini specifici per determinare se sono presenti all'interno della tua azienda e l'impatto che questi sistemi esterni potrebbero aver avuto sulle tue risorse.

Per accedere alla visualizzazione Dominio in Google Security Operations, completa i seguenti passaggi:

Inserisci il dominio (che termina con un suffisso pubblico noto) o l'URL nella barra di ricerca della pagina di destinazione di Google Security Operations.
Fai clic su Cerca. Se il dominio è presente nella tua azienda, è elencato sotto la voce Domini. Fai clic sul link del nome di dominio per passare alla visualizzazione Dominio. Se il dominio è presente nella tua azienda, vengono visualizzate informazioni aggiuntive nella visualizzazione Dominio. Se il dominio non è presente, la visualizzazione Dominio sarà vuota.

Nota: la ricerca UDM offre funzionalità avanzate che ti consentono di eseguire indagini più approfondite sugli eventi e sugli avvisi all'interno della tua istanza Google Security Operations rispetto a quanto sia possibile utilizzando solo la visualizzazione Domain. Per ulteriori informazioni, consulta la pagina Ricerca UDM.

Contesto del dominio

La visualizzazione del dominio mostra il contesto del dominio sottoposto a query, inclusi i riferimenti nei dati dei log importati, nonché gli arricchimenti di terze parti ed esterni da fonti come VirusTotal.

Contesto VT

Fai clic su Contesto VT per visualizzare le informazioni di VirusTotal disponibili per questo dominio.

WHOIS

Google Security Operations mostra le informazioni WHOIS associate al dominio registrato. Queste informazioni possono essere utili per valutare la reputazione di un dominio.

Prevalenza

Google Security Operations fornisce una rappresentazione grafica della prevalenza storica di un determinato FQDN e del relativo TLD. Questo grafico può essere utilizzato per determinare se è stato eseguito precedentemente accesso al dominio dall'interno dell'azienda e può fornire un'indicazione se il dominio è associato a una determinata campagna che ha come target l'azienda. In genere, i domini meno diffusi, ovvero quelli a cui si sono collegati meno asset, potrebbero rappresentare una minaccia maggiore per la tua azienda.

Quando passi il cursore del mouse sopra una barra del grafico Prevalenza, il grafico elenca le risorse che hanno eseguito l'accesso al dominio. A causa dell'elevata prevalenza di server DNS, non sono elencati. Se tutti gli asset sono server DNS, non viene elencato nessun asset.

Approfondimenti sul dominio

Le informazioni sui domini forniscono maggiori informazioni sui domini oggetto di indagine. Puoi utilizzarli per determinare se un dominio è benigno o dannoso. Inoltre, consentono di esaminare ulteriormente un indicatore per determinare se è presente un compromesso più ampio.

Le informazioni sul dominio visualizzate variano a seconda della disponibilità delle informazioni associate al dominio all'interno del tuo account Google Security Operations, ma potrebbero includere quanto segue:

ET Intelligence Rep List: esegue controlli in base all'elenco di rappresentanti di ProofPoint per le minacce emergenti (ET) e elenca le minacce note associate a indirizzi IP e domini specifici.
ESET Threat Intelligence: viene eseguito un controllo in base al servizio di intelligence sulle minacce di ESET.
Indirizzi IP risolti:tutti gli indirizzi IP risolti rilevati nella tua organizzazione per un determinato nome di dominio completo. Ad esempio:
- Cerca test.altostrat.com (nome di dominio completo)
- Vengono visualizzati due IP risolti (198.51.100.81 e 203.0.113.81)
Sottodomini associati:tutti i sottodomini associati rilevati nella tua organizzazione per un determinato nome di dominio completo. Molti avversari utilizzano lo stesso dominio e sottodominio per i loro attacchi. Ad esempio:
- Cerca sandbox.altostrat.com (nome di dominio completo)
- Vengono visualizzati due sottodomini (test.sandbox.altostrat.com e staging.sandbox.altostrat.com)
Domini fratelli:tutti i domini fratelli rilevati nella tua organizzazione per un determinato nome di dominio completo a un determinato livello. Ad esempio:
- Cerca sandbox.altostrat.com
- Viene visualizzato un dominio di pari livello (foo.altostrat.com)

Cronologia

La scheda Cronologia elenca tutti gli eventi per il dominio. La colonna Identificatore risorsa mostra l'ID risorsa. In un numero limitato di casi, Google Security Operations sostituisce l'ID risorsa con l'indirizzo IP della risorsa.

Considerazioni

La visualizzazione Dominio presenta le seguenti limitazioni:

In questa visualizzazione possono essere visualizzati solo 1000 eventi.
Puoi filtrare solo gli eventi visualizzati in questa visualizzazione.
In questa visualizzazione vengono compilati solo i tipi di eventi DNS, EDR e Webproxy. Anche le informazioni su prima visualizzazione e ultima visualizzazione inserite in questa visualizzazione sono limitate a questi tipi di eventi.
Gli eventi generici non vengono visualizzati in nessuna delle visualizzazioni selezionate. Vengono visualizzati solo nelle ricerche dei log non elaborati e UDM.