Examiner un domaine

Chronicle vous permet d'étudier des domaines spécifiques pour déterminer s'il en existe au sein de votre entreprise et l'impact que ces systèmes externes pourraient avoir sur vos ressources. La vue de domaine est dérivée des informations et des données de sécurité que vous avez transmises à Chronicle. Veillez à ingérer et à normaliser les données à partir d'appareils sur votre réseau, tels qu'EDR, pare-feu, proxy Web, etc.

Pour accéder à la vue du domaine dans Chronicle, procédez comme suit:

  1. Saisissez le domaine (se terminant par un suffixe public connu) ou l'URL que vous devez examiner dans la barre de recherche située en haut de l'interface utilisateur.
  2. Cliquez sur SEARCH (RECHERCHER). Si le domaine est présent dans votre entreprise, vous êtes redirigé vers la vue "Domaine".

Contexte du domaine

Vue du domaine Vue du domaine

1 élément

Affiche les éléments uniques au sein de votre entreprise qui se sont connectés à un domaine particulier, avec le résumé de la première connexion de l'élément à ce domaine et la date et l'heure de sa dernière connexion.

2 Hadoop

Chronicle affiche les informations WHOIS associées au domaine enregistré. Ces informations peuvent être utiles pour évaluer la réputation d'un domaine.

3 Prévalence

Chronicle fournit une représentation graphique de la prévalence historique d'un nom de domaine complet donné et de son domaine de premier niveau. Ce graphique permet de déterminer si le domaine a déjà été utilisé depuis l'entreprise et fournit une indication si celui-ci est associé à une campagne spécifique qui cible l'entreprise. En général, moins de domaines sont communs, c'est-à-dire des domaines auxquels moins d'éléments se sont connectés, représentant un risque plus élevé pour votre entreprise.

4 Insights sur le domaine

Les insights sur les domaines vous donnent plus de contexte sur les domaines en cours d'examen. Vous pouvez ainsi déterminer si un domaine est inoffensif ou malveillant. Elles vous permettent également d'étudier un indicateur plus en détail pour déterminer s'il existe un plus grand problème de sécurité.

  • Adresses IP résolues:toutes les adresses IP résolues qui ont été vues dans votre organisation pour un nom de domaine complet. Exemple :

    • Rechercher test.altostrat.com (nom de domaine complet)
    • Deux adresses IP résolues (198.51.100.81 et 203.0.113.81) s'affichent.
  • Sous-domaines associés:tous les sous-domaines associés qui ont été vus dans votre organisation pour un nom de domaine complet. De nombreux adversaires utilisent le même domaine et sous-domaine pour leurs attaques. Exemple :

    • Rechercher sandbox.altostrat.com (nom de domaine complet)
    • Deux sous-domaines (test.sandbox.altostrat.com et staging.sandbox.altostrat.com) sont affichés
  • Domaines frères:tous les domaines frères et sœurs qui ont été vus dans votre organisation pour un nom de domaine complet donné à un niveau donné. Exemple :

    • Rechercher bac à sable sandbox.altostrat.com
    • 1 domaine frère (foo.altostrat.com) est affiché
  • VirusTotal Insights:résumé des informations contextuelles de VirusTotal

  • Liste des conseillers techniques d'ET:vérifie les listes de menaces émergentes de ET