Examiner un domaine

Chronicle vous permet d'examiner des domaines spécifiques pour déterminer si des domaines sont présents dans votre entreprise et l'impact que ces systèmes externes ont pu avoir sur vos ressources.

Pour accéder à la vue Domaine dans Chronicle, procédez comme suit:

Saisissez le domaine (se terminant par un suffixe public connu) ou l'URL dans la barre de recherche de la page de destination Chronicle.
Cliquez sur Rechercher. Si le domaine est présent dans votre entreprise, il apparaît sous l'en-tête Domaines. Cliquez sur le lien du nom de domaine pour passer à la vue Domain (Domaine). Si le domaine est présent dans votre entreprise, des informations supplémentaires s'affichent dans la vue Domaine. Si le domaine n'est pas présent, la vue Domain (Domaine) sera vide.

Remarque :La recherche UDM fournit des fonctionnalités améliorées qui vous permettent d'examiner les événements et les alertes de votre instance Chronicle de manière plus approfondie qu'avec la vue Domaine seule. Pour en savoir plus, consultez la section Recherche UDM.

Contexte du domaine

Vue du domaine

Contexte d'affichage vidéo 1

Cliquez sur VT Context (Contexte VT) pour afficher les informations VirusTotal disponibles pour ce domaine.

2 WHOIS

Chronicle affiche les informations WHOIS associées au domaine enregistré. Ces informations peuvent être utiles pour évaluer la réputation d'un domaine.

3 Prévalence

Chronicle fournit une représentation graphique de la prévalence historique d'un nom de domaine complet donné et de son domaine de premier niveau. Ce graphique permet de déterminer si le domaine a déjà été consulté depuis l'entreprise et peut indiquer si le domaine est associé à une campagne spécifique ciblant l'entreprise. En règle générale, des domaines moins fréquents, c'est-à-dire des domaines auxquels moins d'éléments sont connectés, peuvent représenter une menace plus importante pour votre entreprise.

Lorsque vous maintenez le pointeur sur une barre du graphique Prévalence, ce graphique répertorie les éléments qui ont accédé au domaine. En raison de la forte prévalence des serveurs DNS, ils ne sont pas répertoriés. Si toutes les ressources sont des serveurs DNS, aucun élément n'est listé.

4 Insights sur les domaines

Les insights sur les domaines vous fournissent plus de contexte sur les domaines en cours d'examen. Vous pouvez les utiliser pour déterminer si un domaine est inoffensif ou malveillant. Elles vous permettent également d'examiner plus en détail un indicateur pour déterminer s'il existe un compromis plus large.

Les insights sur le domaine affichés varient en fonction de la disponibilité des informations associées au domaine dans votre compte Chronicle, mais peuvent inclure les éléments suivants:

Liste des représentants ET Intelligence:vérifie par rapport à la liste des représentants en cybermenaces émergentes de ProofPoint et répertorie les menaces connues liées à des adresses IP et à des domaines spécifiques.
ESET Threat Intelligence:vérifie les informations du service de Threat Intelligence d'ESET.
Adresses IP résolues:toutes les adresses IP résolues qui ont été détectées dans votre organisation pour un nom de domaine complet donné. Exemple :
- Recherchez test.altostrat.com (Fully Qualified Domain Name).
- 2 adresses IP résolues (198.51.100.81 et 203.0.113.81) s'affichent
Sous-domaines associés:tous les sous-domaines associés qui ont été détectés dans votre organisation pour un nom de domaine complet donné. De nombreux adversaires utilisent le même domaine et le même sous-domaine pour leurs attaques. Exemple :
- Recherchez sandbox.altostrat.com (Fully Qualified Domain Name).
- Deux sous-domaines (test.sandbox.altostrat.com etstaging.sandbox.altostrat.com) sont affichés.
Domaines frères:tous les domaines frères qui ont été détectés dans votre organisation pour un nom de domaine complet donné à un niveau donné. Exemple :
- Recherchez sandbox.altostrat.com.
- 1 domaine frère (foo.altostrat.com) est affiché.

Chronologie

L'onglet Chronologie répertorie tous les événements du domaine. L'ID de l'élément est indiqué dans la colonne Identifiant d'élément. Dans certains cas, Chronicle remplace l'ID d'élément par l'adresse IP de l'élément.

Remarques

L'affichage du domaine présente les limites suivantes:

Seuls 1 000 événements peuvent être affichés dans cette vue.
Vous ne pouvez filtrer que les événements affichés dans cette vue.
Seuls les types d'événements DNS, EDR et Webproxy sont affichés dans cette vue. Les informations sur la première occurrence et la dernière occurrence qui sont renseignées dans cette vue sont également limitées à ces types d'événements.
Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les recherches de journaux bruts et UDM.