Indagine su un dominio
Chronicle consente di esaminare domini specifici per determinare se sono presenti all'interno dell'azienda e quale impatto potrebbero aver avuto questi sistemi esterni sui tuoi asset. La visualizzazione del dominio deriva dalle informazioni e dai dati di sicurezza che hai trasmesso a Chronicle. Assicurati di importare e normalizzare i dati provenienti dai dispositivi presenti sulla tua rete, ad esempio EDR, firewall, proxy web e così via.
Per accedere alla visualizzazione Dominio in Chronicle, completa i seguenti passaggi:
- Inserisci il dominio (che termina con un suffisso pubblico noto) o l'URL che devi esaminare nella barra di ricerca nella parte superiore dell'interfaccia utente.
- Fai clic su CERCA. Se il dominio esiste, sarà elencato sotto l'intestazione DOMINI. Fai clic sul link del nome di dominio per passare alla visualizzazione Dominio. Se il dominio è presente all'interno dell'azienda, nella visualizzazione Dominio vengono visualizzate ulteriori informazioni. Se il dominio non è presente, la visualizzazione del dominio sarà vuota.
Contesto del dominio
Vista dominio
1 contesto VT
Fai clic su Contesto VT per visualizzare le informazioni di VirusTotal disponibili per questo dominio.
2 WHOIS
Chronicle mostra le informazioni WHOIS associate al dominio registrato. Queste informazioni possono essere utili per valutare la reputazione di un dominio.
3 Prevalenza
Chronicle fornisce una rappresentazione grafica della prevalenza storica di un determinato nome di dominio completo e del relativo dominio di primo livello. Questo grafico può essere utilizzato per determinare se il dominio è stato utilizzato in precedenza dall'azienda e può indicare se il dominio è associato a una determinata campagna che ha come target l'azienda. In genere, i domini meno diffusi, a cui si collegano meno asset, potrebbero rappresentare una maggiore minaccia per la tua azienda.
Quando posizioni il puntatore sopra una barra del grafico Prevalenza, il grafico elenca gli asset che hanno eseguito l'accesso al dominio. A causa dell'elevata prevalenza dei server DNS, non sono elencati. Se tutti gli asset sono server DNS, non ne sarà elencato nessuno.
4 Insight sul dominio
Gli approfondimenti sui domini forniscono più contesto sui domini oggetto di indagine. Puoi utilizzarlo per determinare se un dominio è innocuo o dannoso. Inoltre, consentono di esaminare ulteriormente un indicatore per stabilire se esiste un compromesso più ampio.
Gli approfondimenti sul dominio visualizzati variano in base alla disponibilità delle informazioni associate al dominio nell'account Chronicle, ma potrebbero includere:
Elenco dei rappresentanti dell'intelligence di ET:controlla l'elenco dei rappresentanti dell'intelligence delle minacce di emergenza di ProofPoint ed elenca le minacce note legate a indirizzi IP e domini specifici.
ESET Threat Intelligence: confronta il servizio di threat intelligence di ESET.
IP risolti: tutti gli indirizzi IP risolti che sono stati visualizzati nella tua organizzazione per un determinato nome di dominio completo. Ad esempio:
- Cerca test.altostrat.com (nome di dominio completo)
- Vengono visualizzati 2 IP risolti (198.51.100.81 e 203.0.113.81)
Sottodomini associati: tutti i sottodomini associati che sono stati visualizzati nella tua organizzazione per un determinato nome di dominio completo. Molti utenti malintenzionati usano lo stesso dominio e sottodominio per i loro attacchi. Ad esempio:
- Cerca sandbox.altostrat.com (nome di dominio completo)
- Vengono visualizzati due sottodomini (test.sandbox.altostrat.com e staging.sandbox.altostrat.com)
Domini di pari livello:tutti i domini di pari livello che sono stati visualizzati nella tua organizzazione per un determinato nome di dominio completo a un determinato livello. Ad esempio:
- Cerca sandbox.altostrat.com
- Viene visualizzato 1 dominio di pari livello (foo.altostrat.com)
Tempistica
La scheda Cronologia elenca tutti gli eventi per il dominio. La colonna Identificatore di risorse mostra l'ID risorsa. In un numero ridotto di casi, Chronicle sostituisce l'ID risorsa con l'indirizzo IP della risorsa.