Indagine su un dominio

Chronicle ti consente di analizzare domini specifici per determinare se ne sono presenti all'interno della tua azienda e quale impatto potrebbero avere questi sistemi esterni sui tuoi asset.

Per accedere alla visualizzazione Dominio in Chronicle, completa i seguenti passaggi:

Inserisci il dominio (che termina con un suffisso pubblico noto) o l'URL nella barra di ricerca della pagina di destinazione di Chronicle.
Fai clic su Cerca. Se il dominio è presente nella tua azienda, viene elencato sotto l'intestazione Domini. Fai clic sul link del nome di dominio per passare alla visualizzazione Dominio. Se il dominio è presente all'interno della tua azienda, vengono mostrate informazioni aggiuntive nella visualizzazione Dominio. Se il dominio non è presente, la visualizzazione Dominio sarà vuota.

Nota: la ricerca UDM offre funzionalità avanzate che ti consentono di condurre indagini più approfondite degli eventi e degli avvisi all'interno dell'istanza di Chronicle rispetto alla sola visualizzazione Dominio. Per saperne di più, consulta la ricerca UDM.

Contesto del dominio

Visualizzazione dominio

1 contesto VT

Fai clic su Contesto VT per visualizzare le informazioni di VirusTotal disponibili per questo dominio.

2 WHOIS

Chronicle mostra le informazioni WHOIS associate al dominio registrato. Queste informazioni possono essere utili per valutare la reputazione di un dominio.

3 Prevalenza

Chronicle fornisce una rappresentazione grafica della prevalenza storica di un determinato nome di dominio completo e del suo dominio di primo livello. Questo grafico può essere utilizzato per determinare se al dominio è già stato eseguito l'accesso dall'azienda e può fornire un'indicazione se il dominio è associato a una determinata campagna rivolta all'azienda. In genere, i domini meno diffusi, a cui sono collegate meno risorse, potrebbero rappresentare una minaccia maggiore per la tua azienda.

Quando tieni il puntatore su una barra del grafico Prevalenza, il grafico elenca gli asset che hanno eseguito l'accesso al dominio. A causa dell'elevata prevalenza di server DNS, non vengono elencati. Se tutti gli asset sono server DNS, non viene elencato nessun asset.

4 Insight sul dominio

Gli insight sui domini forniscono maggiori informazioni sui domini sottoposti a indagine. Puoi utilizzarle per determinare se un dominio è benigno o dannoso. Ti permettono inoltre di analizzare ulteriormente un indicatore per stabilire se esiste una compromissione più ampia.

Gli insight sul dominio visualizzati variano a seconda della disponibilità delle informazioni associate al dominio all'interno del tuo account Chronicle, ma potrebbero includere quanto segue:

Elenco dei rappresentanti di ET Intelligence: controlla l'elenco dei rappresentanti di intelligence sulle minacce emergenti (ET) di ProofPoint ed elenca le minacce note associate a indirizzi IP e domini specifici.
ESET Threat Intelligence: controlli rispetto al servizio di intelligence sulle minacce di ESET.
IP risolti: tutti gli indirizzi IP risolti che sono stati rilevati nell'organizzazione per un determinato nome di dominio completo. Ad esempio:
- Cerca test.altostrat.com (Nome di dominio completo)
- Vengono visualizzati 2 IP risolti (198.51.100.81 e 203.0.113.81)
Sottodomini associati: tutti i sottodomini associati che sono stati rilevati nella tua organizzazione per un determinato nome di dominio completo. Molti aggressori usano lo stesso dominio e sottodominio per i loro attacchi. Ad esempio:
- Cerca sandbox.altostrat.com (nome di dominio completo)
- Sono visualizzati due sottodomini (test.sandbox.altostrat.com e staging.sandbox.altostrat.com)
Domini di pari livello: tutti i domini di pari livello che sono stati visualizzati nella tua organizzazione per un determinato nome di dominio completo a un determinato livello. Ad esempio:
- Cerca sandbox.altostrat.com
- 1 dominio di pari livello (foo.altostrat.com) viene visualizzato

Tempistiche

Nella scheda Spostamenti sono elencati tutti gli eventi del dominio. La colonna Identificatore risorsa mostra l'ID risorsa. In un numero limitato di casi, Chronicle sostituisce l'ID risorsa con l'indirizzo IP della risorsa.

Considerazioni

La visualizzazione Dominio presenta le seguenti limitazioni:

In questa visualizzazione possono essere mostrati solo 1000 eventi.
Puoi filtrare solo gli eventi mostrati in questa visualizzazione.
In questa visualizzazione vengono compilati solo i tipi di eventi DNS, EDR e Webproxy. Anche le informazioni relative alla prima visualizzazione e all'ultimo accesso inserite in questa visualizzazione sono limitate a questi tipi di eventi.
Gli eventi generici non vengono mostrati in nessuna delle viste selezionate. Appaiono solo nelle ricerche di log non elaborati e UDM.