Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Investigar un dominio

Chronicle te permite investigar dominios específicos para determinar si alguno está presente en la empresa y qué impacto tuvieron estos sistemas externos en los elementos. La vista de dominio deriva de la información de seguridad y los datos que reenviaste a Chronicle. Asegúrate de transferir y normalizar los datos de los dispositivos en tu red, como EDR, firewall, proxy web, etcétera.

Para acceder a la Vista de dominio en Chronicle, completa los siguientes pasos:

  1. Ingrese el dominio (que finaliza con un sufijo público conocido) o la URL que debe investigar en la barra de búsqueda, en la parte superior de la interfaz de usuario.
  2. Haga clic en BUSCAR. Si el dominio existe, aparecerá en el encabezado DOMAINS. Haga clic en el vínculo del nombre del dominio para cambiar a la vista de dominio. Si el dominio está presente en su empresa, se muestra información adicional en la vista de dominio. Si el dominio no está presente, la vista del dominio estará vacía.

Contexto del sector

Vista de dominio Vista de dominio

1 Contexto de VT

Haga clic en VT Context para ver la información de VirusTotal disponible para este dominio.

2 WHOIS

Chronicle muestra la información de WHOIS asociada con el dominio registrado. Esta información puede ser útil para evaluar la reputación de un dominio.

3 prevalencia

Chronicle proporciona una representación gráfica de la prevalencia histórica de un FQDN determinado y su TLD. Este gráfico se puede utilizar para determinar si se accedió al dominio desde la empresa con anterioridad, y puede indicar si el dominio está asociado con una campaña específica orientada a la empresa. Por lo general, los dominios menos frecuentes, a los que se conectaron menos elementos, podrían representar una mayor amenaza para su empresa.

4 estadísticas de dominio

Las estadísticas de los dominios le brindan más contexto sobre los dominios que se están investigando. Puede usarlos para determinar si un dominio es benigno o malicioso. También te permiten investigar más a fondo un indicador para determinar si existe un compromiso más amplio.

Las estadísticas del dominio que se muestran varían según la disponibilidad de la información asociada con el dominio en tu cuenta de Chronicle, pero pueden incluir lo siguiente:

  • Lista de representantes de inteligencia de ET: Compara la lista de representantes de inteligencia de amenazas emergentes (ET) de proofPoint y enumera las amenazas conocidas vinculadas a direcciones IP y dominios específicos.

  • Inteligencia de amenazas de ESET: Comprueba el servicio de inteligencia de amenazas de ESET.

  • Direcciones IP resueltas: son todas las direcciones IP resueltas que se detectaron en su organización para un nombre de dominio completo. Por ejemplo:

    • Busque test.altostrat.com (nombre de dominio completo)
    • Se muestran 2 direcciones IP resueltas (198.51.100.81 y 203.0.113.81)
  • Subdominios asociados: Todos los subdominios asociados que se hayan visto en su organización para un determinado nombre de dominio completo. Muchos adversarios usan el mismo dominio y subdominio para sus ataques. Por ejemplo:

    • Busque sandbox.altostrat.com (nombre de dominio completo).
    • Se muestran 2 subdominios (test.sandbox.altostrat.com y staging.sandbox.altostrat.com)
  • Dominios del mismo nivel: Son todos los dominios del mismo nivel que se han visto en su organización para un determinado nombre de dominio completo en un nivel determinado. Por ejemplo:

    • Buscar sandbox.altostrat.com
    • Se muestra 1 dominio del mismo nivel (foo.altostrat.com)