调查网域
Google Security Operations 可让您调查特定网域, 以及对外部系统的影响 可能对您的素材资源造成的影响
如需访问 Google Security Operations 中的网域视图,请完成以下步骤:
在 Google Security Operations 着陆页上的搜索栏中输入域名(以已知的公共后缀结尾)或网址。
点击搜索。如果该网域在您的企业中,就会列出 在网域标题下方。点击要数据透视的域名链接 网域视图。如果该网域在您的企业内,则还需要 信息会显示在 Domain(网域)视图中。如果没有网域,网域视图将为空。
网域上下文
“Domain”(网域)视图显示有关查询网域的上下文,以将引用包含在 提取的日志数据以及第三方和外部扩充项(来自 VirusTotal。
VT 情境
点击 VT 上下文,查看适用于此类别的 VirusTotal 信息 网域。
WHOIS
Google Security Operations 会显示 WHOIS 与所注册域名相关的信息。在评估网域的声誉时,此信息会很有用。
普及率
Google Security Operations 以图形方式呈现了给定 FQDN 及其 TLD 的历史普及率。此图表可用于确定 之前是否从企业内部访问过该网域,以及 可指明域是否与特定 广告系列。通常,不太常见的网域(即已关联较少的网域)可能对您的企业构成更大的威胁。
将指针悬停在发生率图表中的条形上时,图表 列出访问过网域的资产。由于 DNS 服务器的普及率很高,因此未列出。如果所有资产都是 DNS 服务器, 。
网域数据分析
域名数据洞察为您提供了有关正在调查的网域的更多背景信息。您可以使用它们来确定网域是良性还是恶意。您还可以利用它们进一步调查指标以确定是否存在更广义的折衷方案。
系统显示的网域数据分析因您 Google 安全运营账号中与网域相关的信息是否可用而异,但可能包括以下内容:
ET 情报代表名单:根据 ProofPoint 的新兴威胁 (ET) 情报代表名单进行检查,并列出与特定 IP 地址和网域相关的已知威胁。
ESET 威胁情报:根据 ESET 的威胁情报服务进行检查。
已解决的 IP:在您的 Google 管理控制台中看到的所有已解析的 IP 地址 组织。例如:
- 搜索 test.altostrat.com(完全限定域名)
- 系统会显示 2 个已解析的 IP(198.51.100.81 和 203.0.113.81)
相关子网域:出现过的所有相关子网域 。许多攻击者都使用同一网域和子网域进行攻击。例如:
- 搜索 sandbox.altostrat.com(完全限定域名)
- 显示 2 个子网域(test.sandbox.altostrat.com 和 staging.sandbox.altostrat.com)
同级网域:组织内给定级别下完全限定域名对应的所有同级网域。例如:
- 搜索 sandbox.altostrat.com
- 显示 1 个同级网域 (foo.altostrat.com)
时间轴
时间轴标签页会列出网域的所有事件。资产标识符列会显示资产 ID。在少数情况下,Google 安全运营团队会将资源 ID 替换为资源的 IP 地址。
注意事项
网域视图具有以下限制:
- 此视图中最多只能显示 1,000 个事件。
- 您只能过滤此数据视图中显示的事件。
- 此视图中仅填充了 DNS、EDR 和 Webproxy 事件类型。 此视图中填充的首次出现和上次出现的信息也有限 这些事件类型
- 通用事件不会显示在任何精选视图中。它们仅出现在 原始日志和 UDM 搜索。