调查网域

借助 Google 安全运营中心，您可以调查特定网域，以确定企业中是否存在任何网域，以及这些外部系统可能对资产产生的影响。

如需在 Google 安全运营中心内访问网域视图，请完成以下步骤：

1. 在 Google Security Operations 着陆页上的搜索栏中输入域名（以已知的公共后缀结尾）或网址。

2. 点击搜索。如果网域存在于贵企业中，则会列在网域标题下。点击域名链接以切换到网域视图。如果网域存在于贵企业中，网域视图中会显示更多信息。如果没有网域，网域视图将为空。

网域上下文

“网域”视图会显示与查询的网域相关的上下文，包括提取的日志数据中的引用，以及来自 VirusTotal 等来源的第三方和外部丰富数据。

VT 情境

点击 VT Context（VT 上下文）可查看此网域的可用 VirusTotal 信息。

WHOIS

Google Security Operations 会显示与注册网域相关联的 WHOIS 信息。在评估网域的声誉时，此信息会很有用。

普及率

Google Security Operations 以图形方式呈现了给定 FQDN 及其 TLD 的历史普及率。此图表可用于确定之前是否从企业内部访问过该网域，并指示该网域是否与针对企业的特定广告系列相关联。通常，不太常见的网域（即已关联较少的网域）可能对您的企业构成更大的威胁。

将指针悬停在普及率图表中的某个柱形上时，图表会列出访问过该网域的资产。由于 DNS 服务器的普及率很高，因此未列出。如果所有资产都是 DNS 服务器，则不会列出任何资产。

域名数据洞察

域名数据洞察为您提供了有关正在调查的网域的更多背景信息。您可以使用它们来确定网域是良性还是恶意。您还可以利用它们进一步调查指标以确定是否存在更广义的折衷方案。

系统显示的网域数据分析因您 Google 安全运营账号中与网域相关的信息是否可用而异，但可能包括以下内容：

• ET 情报代表名单：根据 ProofPoint 的新兴威胁 (ET) 情报代表名单进行检查，并列出与特定 IP 地址和网域相关的已知威胁。

• ESET 威胁情报：根据 ESET 的威胁情报服务进行检查。

• 已解析的 IP：贵组织已指定的完全符合条件的域名中所有已解析的 IP 地址。例如：

  • 搜索 test.altostrat.com（完全限定域名）
  • 系统会显示 2 个已解析的 IP（198.51.100.81 和 203.0.113.81）

• 关联的子网域：贵组织中采用完全限定域名的所有关联子网域。许多攻击者都使用同一网域和子网域进行攻击。例如：

  • 搜索 sandbox.altostrat.com（完全限定域名）
  • 显示 2 个子网域（test.sandbox.altostrat.com 和 staging.sandbox.altostrat.com）

• 同级网域：组织内给定级别下完全限定域名对应的所有同级网域。例如：

  • 搜索 sandbox.altostrat.com
  • 显示 1 个同级网域 (foo.altostrat.com)

时间轴

时间轴标签页会列出网域的所有事件。资产标识符列会显示资产 ID。在少数情况下，Google 安全运营团队会将资源 ID 替换为资源的 IP 地址。

注意事项

网域视图具有以下限制：

• 此视图中最多只能显示 1,000 个事件。
• 您只能过滤此视图中显示的事件。
• 此视图中仅填充 DNS、EDR 和 Webproxy 事件类型。此视图中填充的首次看到和上次看到信息也仅限于这些事件类型。
• 通用事件不会显示在任何精选视图中。它们仅会显示在原始日志和 UDM 搜索中。