Domain prüfen

Mit Chronicle können Sie bestimmte Domains untersuchen, um festzustellen, ob in Ihrem Unternehmen welche vorhanden sind und welche Auswirkungen diese externen Systeme auf Ihre Assets haben könnten.

Führen Sie die folgenden Schritte aus, um in Chronicle auf die Ansicht Domain zuzugreifen:

Geben Sie die Domain (mit einem bekannten öffentlichen Suffix) oder die URL in die Suchleiste auf der Chronicle-Landingpage ein.
Klicken Sie auf Suchen. Wenn die Domain in Ihrem Unternehmen vorhanden ist, wird sie unter der Überschrift Domains aufgeführt. Klicken Sie auf den Domainnamen-Link, um zur Ansicht Domain zu wechseln. Wenn die Domain in Ihrem Unternehmen vorhanden ist, werden in der Ansicht Domain zusätzliche Informationen angezeigt. Wenn die Domain nicht vorhanden ist, ist die Ansicht Domain leer.

Hinweis: Die UDM-Suche bietet erweiterte Funktionen, mit denen Sie die Ereignisse und Benachrichtigungen in Ihrer Chronicle-Instanz genauer untersuchen können als mit der Domain-Ansicht allein. Weitere Informationen finden Sie unter UDM-Suche.

Domainkontext

Domainansicht

Kontext: 1 VT

Klicken Sie auf VT-Kontext, um die für diese Domain verfügbaren VirusTotal-Informationen aufzurufen.

2 WHOIS

Chronicle zeigt die WHOIS-Informationen an, die mit der registrierten Domain verknüpft sind. Diese Informationen können hilfreich sein, um den Ruf einer Domain zu beurteilen.

3 Verbreitung

Chronicle bietet eine grafische Darstellung der bisherigen Verbreitung eines bestimmten FQDN und seiner TLD. Anhand dieser Grafik lässt sich feststellen, ob die Domain zuvor schon einmal von einem Unternehmen aus aufgerufen wurde. Außerdem kann sie Aufschluss darüber geben, ob die Domain mit einer bestimmten, auf das Unternehmen ausgerichteten Kampagne verknüpft ist. In der Regel stellen weniger verbreitete Domains, mit denen weniger Assets verbunden sind, eine größere Bedrohung für Ihr Unternehmen dar.

Wenn Sie den Mauszeiger auf einen Balken im Diagramm Prävalenz bewegen, werden im Diagramm die Assets aufgelistet, über die auf die Domain zugegriffen wurde. Aufgrund der hohen Verbreitung von DNS-Servern werden sie nicht aufgeführt. Wenn es sich bei allen Assets um DNS-Server handelt, werden keine Assets aufgelistet.

4 Domainstatistiken

Domainstatistiken liefern Ihnen mehr Kontext zu den untersuchten Domains. Damit können Sie feststellen, ob eine Domain harmlos oder schädlich ist. Sie ermöglichen es Ihnen auch, einen Indikator weiter zu untersuchen, um festzustellen, ob es einen umfassenderen Missbrauch gibt.

Welche Domainstatistiken angezeigt werden, hängt von der Verfügbarkeit von Informationen ab, die mit der Domain in Ihrem Chronicle-Konto verknüpft sind. Sie können jedoch Folgendes umfassen:

ET Intelligence Rep List: Prüft auf die Emerging Threats (ET) Intelligence Rep List von ProofPoint und listet bekannte Bedrohungen auf, die mit bestimmten IP-Adressen und Domains verbunden sind.
ESET Threat Intelligence:Vergleicht die Ergebnisse auf den Threat Intelligence-Dienst von ESET.
Aufgelöste IP-Adressen: Alle aufgelösten IP-Adressen, die in Ihrer Organisation für einen bestimmten voll qualifizierten Domainnamen gesehen wurden. Beispiel:
- Suchen Sie nach test.altostrat.com (Fully Qualified Domain Name).
- 2 aufgelöste IP-Adressen (198.51.100.81 und 203.0.113.81) werden angezeigt.
Verknüpfte Subdomains:Alle zugehörigen Subdomains, die in Ihrer Organisation für einen bestimmten voll qualifizierten Domainnamen gesehen wurden. Viele Angreifer verwenden dieselbe Domain und Subdomain für ihre Angriffe. Beispiel:
- Suchen Sie nach sandbox.altostrat.com (Voll qualifizierter Domainname)
- Es werden 2 Subdomains (test.sandbox.altostrat.com undstaging.sandbox.altostrat.com) angezeigt.
Gleichgeordnete Domains: Alle gleichgeordneten Domains, die in Ihrer Organisation für einen bestimmten voll qualifizierten Domainnamen auf einer bestimmten Ebene gesehen wurden. Beispiel:
- Nach sandbox.altostrat.com suchen
- 1 verwandte Domain (foo.altostrat.com) wird angezeigt

Zeitplan

Auf dem Tab Zeitachse werden alle Ereignisse für die Domain aufgeführt. Die Spalte Asset-ID enthält die Asset-ID. In einigen wenigen Fällen ersetzt Chronicle die Asset-ID durch die IP-Adresse des Assets.

Hinweise

Für die Domainansicht gelten die folgenden Einschränkungen:

In dieser Ansicht können maximal 1.000 Ereignisse angezeigt werden.
Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
In dieser Ansicht werden nur DNS-, EDR- und Webproxy-Ereignistypen dargestellt. Die „zuerst erfasst“ und „zuletzt gesehen“ in dieser Ansicht sind ebenfalls auf diese Ereignistypen beschränkt.
Allgemeine Ereignisse werden in keiner der ausgewählten Ansichten angezeigt. Sie werden nur in Log-Rohdaten- und UDM-Suchen angezeigt.