Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Examiner un domaine

Chronicle vous permet d'examiner des domaines spécifiques pour déterminer s'ils sont présents dans votre entreprise, et quel impact ces systèmes externes ont pu avoir sur vos ressources. La vue du domaine est dérivée des informations et des données de sécurité que vous avez transférées à Chronicle. Assurez-vous d'ingérer et de normaliser les données des appareils de votre réseau, comme EDR, pare-feu, proxy Web, etc.

Pour accéder à la vue de domaine dans Chronicle, procédez comme suit:

  1. Saisissez le domaine (qui se termine par un suffixe public connu) ou l'URL à rechercher dans la barre de recherche située en haut de l'interface utilisateur.
  2. Cliquez sur RECHERCHER. Si le domaine existe, il apparaît sous l'en-tête DOMAINS. Cliquez sur le lien du nom de domaine pour basculer vers la vue "Domaine". Si le domaine est présent dans votre entreprise, des informations supplémentaires s'affichent dans la vue "Domaine". Si le domaine n'est pas présent, la vue "Domaine" est vide.

Contexte du domaine

Vue du domaine Vue du domaine

1 VT Context

Cliquez sur VT Context (Contexte VT) pour afficher les informations VirusTotal disponibles pour ce domaine.

2 Données WHOIS

Chronicle affiche les informations WHOIS associées au domaine enregistré. Ces informations peuvent être utiles pour évaluer la réputation d'un domaine.

3. Prévalence

Chronicle fournit une représentation graphique de la prévalence historique d'un nom de domaine complet et de son TLD. Ce graphique permet de déterminer si l'accès au domaine a été effectué au sein de l'entreprise par le passé. Il peut aussi indiquer si le domaine est associé à une campagne spécifique ciblant l'entreprise. En règle générale, les domaines moins répandus, c'est-à-dire ceux auxquels moins d'assets se sont connectés, peuvent représenter une plus grande menace pour votre entreprise.

Lorsque vous maintenez le pointeur de la souris sur une barre du graphique Prévalence, le graphique répertorie les éléments qui ont accédé au domaine. En raison de la forte prédominance des serveurs DNS, ils ne sont pas listés. Si tous les éléments sont des serveurs DNS, aucun élément n'est répertorié.

4 Statistiques du domaine

Les insights sur les domaines vous fournissent plus de contexte sur les domaines en cours d'examen. Ils vous permettent de déterminer si un domaine est bénin ou malveillant. Ils vous permettent également d'approfondir vos recherches pour déterminer s'il existe un compromis plus large.

Les statistiques affichées varient en fonction de la disponibilité des informations associées au domaine dans votre compte Chronicle, mais peuvent inclure les éléments suivants:

  • ET Intelligence Rep List:vérifie la liste des menaces émergentes de ProofPoint Threats (ET) et répertorie les menaces connues liées à des adresses IP et des domaines spécifiques.

  • ESET Threat Intelligence : vérifie le service de renseignements sur les menaces d'ESET.

  • Adresses IP résolues:toutes les adresses IP résolues qui ont été vues dans votre organisation pour un nom de domaine complet. Exemple :

    • Recherchez test.altostrat.com (Nom de domaine complet).
    • Deux adresses IP résolues (198.51.100.81 et 203.0.113.81) sont affichées

  • Sous-domaines associés:tous les sous-domaines associés qui ont été vus dans votre organisation pour un nom de domaine complet donné. De nombreux pirates utilisent les mêmes domaine et sous-domaine pour leurs attaques. Exemple :

    • Recherchez sandbox.altostrat.com (Fully qualifier Domain Name)
    • 2 sous-domaines (test.sandbox.altostrat.com et staging.sandbox.altostrat.com)

  • Domaines frères:tous les domaines frères et sœurs qui ont été vus dans votre organisation pour un nom de domaine complet donné à un niveau donné. Exemple :

    • Recherchez sandbox.altostrat.com
    • 1 domaine frère (foo.altostrat.com) est affiché

Calendrier

L'onglet Timeline répertorie tous les événements du domaine. La colonne Identifiant d'asset indique l'ID de l'asset. Dans de rares cas, Chronicle remplace l'ID de l'asset par son adresse IP.