调查网域

Google Security Operations 可让您调查特定网域， 以及对外部系统的影响 可能对您的资产可能带来的收益

如需访问 Google Security Operations 中的网域视图，请完成以下步骤：

1. 在搜索中输入域名（以已知的公开后缀结尾）或网址 该栏。

2. 点击搜索。如果该网域在您的企业中，就会列出 在网域标题下方。点击要数据透视的域名链接 网域视图。如果该网域在您的企业内，则还需要 信息会显示在 Domain（网域）视图中。如果域名不存在 网域视图将为空。

网域上下文

“Domain”（网域）视图显示有关查询网域的上下文，以将引用包含在 提取的日志数据以及第三方和外部扩充项（来自 VirusTotal。

VT 背景信息

点击 VT 上下文，查看适用于此情况的 VirusTotal 信息 网域。

WHOIS

Google Security Operations 会显示 WHOIS 与所注册域名相关的信息。这些信息可以是 在评估网域的声誉时非常有用。

普及率

Google Security Operations 以图形方式显示 给定 FQDN 及其 TLD 的存在率。此图表可用于确定 之前是否从企业内部访问过该网域，以及 可指明域是否与特定 广告系列。一般来说，不太常见的域 可能对企业的威胁更大， 企业。

将指针悬停在发生率图表中的条形上时，图表 列出访问过网域的资产。由于 DNS 的盛行 不会列出。如果所有资产都是 DNS 服务器， 。

网域数据分析

域名数据洞察为您提供了有关正在调查的网域的更多背景信息。您可以使用它们来确定网域是良性还是恶意。他们还 让您进一步研究指标，以确定是否存在更广泛的 安全。

所显示的网域数据分析因信息可用情况而异 与您 Google Security Operations 账号内的网域相关联，但 包括：

• ET Intelligence Rep List（ET Intelligence 代表名单）：检查 ProofPoint 新兴威胁 (ET) 情报代表名单，并列出与特定 IP 相关的已知威胁 地址和域名。

• ESET 威胁情报： 检查 ESET 的威胁情报服务。

• 已解决的 IP：在您的 Google 管理控制台中看到的所有已解析的 IP 地址 组织。例如：

  • 搜索 test.altostrat.com（完全限定域名）
  • 系统会显示 2 个已解析的 IP（198.51.100.81 和 203.0.113.81）

• 相关子网域：出现过的所有相关子网域 找到您的组织的完全限定域名。众多对手 使用相同的域名和子域名进行攻击。例如：

  • 搜索 sandbox.altostrat.com（完全限定域名）
  • 2 个子网域（test.sandbox.altostrat.com 和 staging.sandbox.altostrat.com）。

• 同级域名：您的 指定完全限定域名的组织。例如：

  • 搜索 sandbox.altostrat.com
  • 显示 1 个同级网域 (foo.altostrat.com)

时间轴

时间轴标签页列出了网域的所有事件。资产标识符列会显示资产 ID。在少数情况下，Google Security Operations 会将资产 ID 替换为资产的 IP 地址。

注意事项

网域视图具有以下限制：

• 此视图中只能显示 1000 个活动。
• 您只能过滤此数据视图中显示的事件。
• 此视图中仅填充了 DNS、EDR 和 Webproxy 事件类型。 此视图中填充的首次出现和最后一次出现的信息也有限 这些事件类型
• 常规事件不会显示在任何精选视图中。它们仅出现在 原始日志和 UDM 搜索。