Menyelidiki domain
Chronicle memungkinkan Anda menyelidiki domain tertentu untuk menentukan apakah ada dalam perusahaan Anda, dan apa dampak sistem luar ini terhadap aset Anda.
Untuk mengakses tampilan Domain di Chronicle, selesaikan langkah-langkah berikut:
Masukkan domain (diakhiri dengan akhiran publik yang diketahui) atau URL di kotak penelusuran di halaman landing Chronicle.
Klik Telusuri. Jika domain ada di perusahaan Anda, domain tersebut akan tercantum di bawah judul Domains. Klik link nama domain untuk beralih ke tampilan Domain. Jika domain ada dalam perusahaan Anda, informasi tambahan akan ditampilkan di tampilan Domain. Jika domain tidak ada, tampilan Domain akan kosong.
Konteks domain
Tampilan domain
Konteks 1 VT
Klik VT Context untuk melihat informasi VirusTotal yang tersedia untuk domain ini.
2 WHOIS
Chronicle menampilkan informasi WHOIS yang terkait dengan domain terdaftar. Informasi ini dapat berguna saat menilai reputasi domain.
3 Prevalensi
Chronicle memberikan representasi grafis dari prevalensi historis FQDN tertentu dan TLD-nya. Grafik ini dapat digunakan untuk menentukan apakah domain pernah diakses dari dalam perusahaan sebelumnya, dan dapat memberikan indikasi apakah domain tersebut terkait dengan kampanye tertentu yang menargetkan perusahaan. Biasanya, domain yang kurang umum, yang terkoneksi oleh lebih sedikit aset, dapat menimbulkan ancaman yang lebih besar bagi perusahaan Anda.
Saat Anda mengarahkan kursor ke batang dalam grafik Prevalence, grafik akan mencantumkan aset yang mengakses domain. Karena tingginya prevalensi server DNS, mereka tidak terdaftar. Jika semua aset adalah server DNS, tidak ada aset yang akan dicantumkan.
4 Insight domain
Insight domain memberi Anda lebih banyak konteks tentang domain yang sedang diselidiki. Anda dapat menggunakannya untuk menentukan apakah suatu domain bersifat jinak atau berbahaya. Pemeriksaan ini juga memungkinkan Anda menyelidiki indikator lebih lanjut untuk menentukan apakah ada penyusupan yang lebih luas.
Insight domain yang ditampilkan bervariasi bergantung pada ketersediaan informasi yang terkait dengan domain dalam akun Chronicle, tetapi mungkin mencakup hal berikut:
Daftar Rep Intelijen ET: Pemeriksaan terhadap Daftar Perwakilan Intelijen Ancaman Baru (ET) ProofPoint dan mencantumkan ancaman yang diketahui yang terkait dengan alamat IP dan domain tertentu.
ESET Threat Intelligence: Memeriksa layanan inteligensi ancaman ESET.
IP yang Terselesaikan: Semua alamat IP yang diselesaikan yang telah terlihat di organisasi Anda untuk Nama Domain yang Memenuhi Syarat Sepenuhnya. Contoh:
- Telusuri test.altostrat.com (Nama Domain yang Memenuhi Syarat Sepenuhnya)
- 2 IP yang terselesaikan (198.51.100.81 dan 203.0.113.81) ditampilkan
Subdomain terkait: Semua subdomain terkait yang telah terlihat di organisasi Anda untuk Nama Domain yang sepenuhnya Memenuhi Syarat tertentu. Banyak penyerang menggunakan domain dan subdomain yang sama untuk serangan mereka. Contoh:
- Telusuri sandbox.altostrat.com (Nama Domain yang Memenuhi Syarat Sepenuhnya)
- 2 subdomain (test.sandbox.altostrat.com dan staging.sandbox.altostrat.com) ditampilkan
Domain Saudara: Semua domain seinduk yang telah terlihat di organisasi Anda untuk Nama Domain Memenuhi Syarat Sepenuhnya tertentu pada tingkat tertentu. Misalnya:
- Telusuri sandbox.altostrat.com
- 1 domain seinduk (foo.altostrat.com) ditampilkan
Linimasa
Tab Linimasa mencantumkan semua peristiwa untuk domain tersebut. Kolom ID aset menampilkan ID aset. Dalam sebagian kecil kasus, Chronicle akan mengganti ID aset dengan alamat IP aset.
Pertimbangan
Tampilan domain memiliki batasan berikut:
- Hanya 1.000 acara yang dapat ditampilkan dalam tampilan ini.
- Anda hanya dapat memfilter acara yang ditampilkan di tampilan ini.
- Hanya jenis peristiwa DNS, EDR, dan Webproxy yang diisi di tampilan ini. Informasi yang pertama dilihat dan terakhir dilihat yang diisi dalam tampilan ini juga terbatas untuk jenis peristiwa ini.
- Peristiwa umum tidak muncul di tampilan hasil seleksi mana pun. Laporan ini hanya muncul di penelusuran log mentah dan UDM.