Investiga un dominio

Chronicle te permite investigar dominios específicos para determinar si hay alguno presente en tu empresa y qué impacto pueden tener estos sistemas externos en tus recursos. La vista de dominio se deriva de la información de seguridad y los datos que reenviaste a Chronicle. Asegúrate de transferir y normalizar datos de dispositivos en la red, como EDR, firewall, proxy web, etcétera.

Para acceder a la vista de dominio de Chronicle, completa los siguientes pasos:

  1. Ingresa el dominio (que termina con un sufijo público conocido) o la URL que debes investigar en la barra de búsqueda, en la parte superior de la interfaz de usuario.
  2. Haga clic en BUSCAR. Si el dominio está presente en su empresa, se lo redireccionará a la vista de dominio.

Contexto del dominio

Vista de dominio Vista de dominio

1 activo

Muestra los recursos únicos dentro de la empresa que se conectaron a un dominio en particular, incluido un resumen de la primera vez que el elemento accedió al dominio y la fecha más reciente.

2 WHOIS

Chronicle muestra la información de WHOIS asociada con el dominio registrado. Esta información puede ser útil para evaluar la reputación de un dominio.

3 Prevalencia

Chronicle proporciona una representación gráfica de la prevalencia histórica de un FQDN determinado y su TLD. Este gráfico se puede usar para determinar si se accedió antes al dominio desde la empresa y puede indicar si el dominio está asociado con una campaña específica orientada a la empresa. Por lo general, los dominios menos predominantes, los que tienen menos recursos conectados, pueden representar una amenaza mayor para su empresa.

4 Estadísticas de dominio

Las estadísticas sobre los dominios brindan más contexto sobre los dominios que se investigan. Puede usarlos para determinar si un dominio es benigno o malicioso. También te permiten investigar más a fondo un indicador para determinar si hay un compromiso más amplio.

  • Direcciones IP resueltas: Todas las direcciones IP resueltas que se vieron en su organización para un nombre de dominio completamente calificado. Por ejemplo:

    • Busque test.altostrat.com (Nombre de dominio completamente calificado)
    • Se muestran 2 IP resueltas (198.51.100.81 y 203.0.113.81)
  • Subdominios asociados: Todos los subdominios asociados que se vieron en su organización para un nombre de dominio completamente calificado. Muchos adversarios usan el mismo dominio y subdominio para sus ataques. Por ejemplo:

    • Busque sandbox.altostrat.com (nombre de dominio completamente calificado).
    • Se muestran 2 subdominios (test.sandbox.altostrat.com y staging.sandbox.altostrat.com)
  • Dominios del mismo nivel: Son todos los dominios del mismo nivel que se vieron en su organización para un nombre de dominio completamente calificado en un nivel determinado. Por ejemplo:

    • Buscar sandbox.altostrat.com
    • Se muestra 1 dominio del mismo nivel (foo.altostrat.com)
  • VirusTotal Insights: Resumen de la información contextual de VirusTotal

  • Lista de representantes de ET Intelligence: Compara las listas de representantes de amenazas emergentes (ET) de proofPoint y enumera las amenazas conocidas relacionadas con direcciones IP y dominios específicos.