Investiga un dominio

Chronicle te permite investigar dominios específicos a fin de determinar si hay alguno presente en tu empresa y qué impacto podrían tener estos sistemas externos en tus recursos. La vista de dominio se deriva de la información de seguridad y los datos que reenviaste a Chronicle. Asegúrate de transferir y normalizar los datos de los dispositivos de tu red, como EDR, firewall, proxy web, etcétera.

Para acceder a la vista de dominio en Chronicle, completa los siguientes pasos:

  1. Ingresa el dominio (que termina con un sufijo público conocido) o la URL que debes investigar en la barra de búsqueda, en la parte superior de la interfaz de usuario.
  2. Haga clic en BUSCAR. Si el dominio está presente en la empresa, se lo redireccionará a la vista Dominio.

Contexto del dominio

Vista de dominio Vista de dominio

1 elemento

Muestra los recursos únicos dentro de la empresa que se conectaron a un dominio en particular, incluido un resumen de la primera vez que el elemento accedió al dominio y la última vez.

2 WHOIS

Chronicle muestra la información de WHOIS asociada con el dominio registrado. Esta información puede ser útil a la hora de evaluar la reputación de un dominio.

3 Prevalencia

Chronicle proporciona una representación gráfica de la prevalencia histórica de un FQDN determinado y su TLD. Este gráfico se puede utilizar para determinar si se accedió antes al dominio desde la empresa y puede proporcionar una indicación de si el dominio está asociado con una campaña específica orientada a la empresa. Por lo general, los dominios menos frecuentes, aquellos a los que se conectan menos elementos, podrían representar una mayor amenaza para su empresa.

4 estadísticas de dominio

Las estadísticas del dominio le brindan más contexto sobre los dominios en investigación. Puede usarlos para determinar si un dominio es benigno o malicioso. También te permiten investigar más a fondo un indicador para determinar si hay un compromiso más amplio.

  • Direcciones IP resueltas: son todas las direcciones IP resueltas que se vieron en su organización para un nombre de dominio completamente calificado. Por ejemplo:

    • Busque test.altostrat.com (nombre de dominio completamente calificado)
    • Se muestran 2 direcciones IP resueltas (198.51.100.81 y 203.0.113.81)
  • Subdominios asociados: Todos los subdominios asociados que se vieron en tu organización para un nombre de dominio completamente calificado. Muchos adversarios usan el mismo dominio y subdominio para sus ataques. Por ejemplo:

    • Busca sandbox.altostrat.com (nombre de dominio completamente calificado)
    • Se muestran 2 subdominios (test.sandbox.altostrat.com y staging.sandbox.altostrat.com).
  • Dominios del mismo nivel: Todos los dominios del mismo nivel que se vieron en su organización para un nombre de dominio completamente calificado de un determinado nivel Por ejemplo:

    • Buscar sandbox.altostrat.com
    • Se muestra 1 dominio del mismo nivel (foo.altostrat.com)
  • VirusTotal Insights: Resumen de la información contextual de VirusTotal

  • Lista de representantes de inteligencia de ET: Compara la Lista de representantes de amenazas emergentes de proofPoint (ET) y enumera las amenazas conocidas vinculadas a direcciones IP y dominios específicos.