Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Investigar un dominio

Chronicle te permite investigar dominios específicos a fin de determinar si hay alguno dentro de tu empresa y qué impacto pueden tener estos sistemas externos en tus elementos. La vista de dominio deriva de la información de seguridad y los datos que reenviaste a Chronicle. Asegúrate de transferir y normalizar los datos de dispositivos de la red, como EDR, firewall, proxy web, etcétera.

Para acceder a la vista de dominio en Chronicle, completa los siguientes pasos:

  1. Ingresa el dominio (que termina con un sufijo público conocido) o la URL que necesitas investigar en la barra de búsqueda, en la parte superior de la interfaz de usuario.
  2. Haga clic en BUSCAR. Si el dominio existe, aparecerá en el encabezado DOMAINS. Haga clic en el vínculo del nombre del dominio para cambiar a la vista de dominios. Si el dominio está presente en su empresa, se muestra información adicional en la vista Dominio. Si no lo tiene, la vista de dominio estará vacía.

Contexto del sector

Vista del dominio Vista de dominio

Contexto de VT

Haga clic en VT Context para ver la información de VirusTotal disponible para este dominio.

2 WHOIS

Chronicle muestra la información de WHOIS asociada con el dominio registrado. Esta información puede ser útil para evaluar la reputación de un dominio.

3 Prevalencia

Chronicle proporciona una representación gráfica de la prevalencia histórica de un FQDN determinado y su TLD. Este gráfico se puede usar para determinar si se accedió antes al dominio desde una empresa y puede proporcionar un indicio de si el dominio está asociado con una campaña en particular orientada a la empresa. Por lo general, los dominios menos frecuentes, es decir, los que tienen menos recursos conectados, pueden representar una mayor amenaza para su empresa.

Cuando mantenga el cursor sobre una barra del gráfico Prevalencia, el gráfico mostrará los recursos que accedieron al dominio. Debido a la alta prevalencia de los servidores DNS, no aparecen en la lista. Si todos los elementos son servidores DNS, no se muestra ningún elemento.

4 estadísticas del dominio

Las estadísticas de los dominios le brindan más contexto sobre los dominios que se están investigando. Puede utilizarlas para determinar si un dominio es benigno o malicioso. También te permiten investigar con más detalle un indicador para determinar si existe un compromiso más amplio.

Las estadísticas de dominio que se muestran varían según la disponibilidad de la información asociada con el dominio dentro de su cuenta de Chronicle, pero pueden incluir lo siguiente:

  • Lista de representantes de inteligencia de ET: Comprueba la lista de representantes de inteligencia emergente (ET) de ProofPoint y muestra las amenazas conocidas asociadas a direcciones IP y dominios específicos.

  • ESET Threat Intelligence: Verifica el servicio de inteligencia de amenazas de ESET.

  • IP resueltas: Todas las direcciones IP resueltas que se han visto en su organización para un nombre de dominio completamente calificado. Por ejemplo:

    • Busque test.altostrat.com (Nombre de dominio completamente calificado)
    • Se muestran 2 direcciones IP resueltas (198.51.100.81 y 203.0.113.81).

  • Subdominios asociados: Son todos los subdominios asociados con su organización que se registraron en un determinado nombre de dominio completamente calificado. Muchos adversarios usan el mismo dominio y subdominio para sus ataques. Por ejemplo:

    • Busque sandbox.altostrat.com (nombre de dominio completo).
    • Se muestran 2 subdominios (test.sandbox.altostrat.com y staging.sandbox.altostrat.com).

  • Dominios del mismo nivel: Todos los dominios del mismo nivel que se vieron en su organización para un determinado nombre de dominio completamente calificado en un nivel determinado. Por ejemplo:

    • Buscar sandbox.altostrat.com
    • Se muestra 1 dominio del mismo nivel (foo.altostrat.com)

Cronograma

En la pestaña Cronograma, se enumeran todos los eventos del dominio. En la columna Identificador de activos, se muestra el ID del activo. En unos pocos casos, Chronicle reemplaza el ID del activo por su dirección IP.