Indagine su un dominio

Chronicle ti consente di analizzare domini specifici per determinare se sono presenti all'interno della tua azienda e dell'impatto che questi sistemi esterni potrebbero avere avuto sugli asset. La visualizzazione del dominio deriva dai dati e dalle informazioni sulla sicurezza che hai inoltrato a Chronicle. Assicurati di importare e normalizzare i dati dai dispositivi sulla rete, ad esempio EDR, firewall, proxy web e così via

Per accedere alla visualizzazione Dominio in Chronicle, completa i seguenti passaggi:

  1. Inserisci il dominio (che termina con un suffisso pubblico noto) o l'URL che devi esaminare nella barra di ricerca nella parte superiore dell'interfaccia utente.
  2. Fai clic su CERCA. Se il dominio è presente all'interno della tua azienda, si apre la visualizzazione Dominio.

Contesto del dominio

Visualizzazione del dominio Vista del dominio

1 risorsa

Visualizza gli asset univoci all'interno della tua azienda che si sono collegati a un determinato dominio, tra cui un riepilogo della prima volta in cui l'asset ha eseguito l'accesso al dominio.

2 WHOIS

Chronicle mostra le informazioni WHOIS associate al dominio registrato. Queste informazioni possono essere utili per valutare la reputazione di un dominio.

3 Prevalenza

Chronicle fornisce una rappresentazione grafica della prevalenza storica di un determinato FQDN e del relativo dominio di primo livello. Questo grafico può essere utilizzato per determinare se l'accesso al dominio dall'azienda è stato eseguito in precedenza e può fornire un'indicazione relativa all'associazione del dominio a una determinata campagna indirizzata all'azienda. In genere, i domini meno diffusi, quelli a cui meno risorse sono connesse, possono rappresentare una minaccia maggiore per la tua azienda.

4 Insight sul dominio

Gli approfondimenti sul dominio forniscono un maggiore contesto sui domini oggetto di indagine. Puoi utilizzarli per determinare se un dominio è innocuo o dannoso. Inoltre, ti consentono di esaminare ulteriormente un indicatore per verificare se esiste un compromesso più ampio.

  • IP risolti: tutti gli indirizzi IP risolti che sono stati visualizzati nella tua organizzazione per un determinato nome di dominio completo. Ad esempio:

    • Cerca test.altostrat.com (nome di dominio completo)
    • Vengono visualizzati due indirizzi IP risolti (198.51.100.81 e 203.0.113.81)
  • Sottodomini associati: tutti i sottodomini associati visualizzati nella tua organizzazione per un determinato nome di dominio completo. Per gli attacchi, molti utenti malintenzionati utilizzano lo stesso dominio e sottodominio. Ad esempio:

    • Cerca sandbox.altostrat.com (nome di dominio completo)
    • Vengono visualizzati due sottodomini (test.sandbox.altostrat.com e staging.sandbox.altostrat.com)
  • Domini di pari livello: tutti i domini di pari livello presenti nella tua organizzazione per un determinato nome di dominio completo a un determinato livello. Ad esempio:

    • Cerca sandbox.altostrat.com
    • Viene visualizzato 1 dominio di pari livello (foo.altostrat.com)
  • VirusTotal Insights: riepilogo delle informazioni contestuali da VirusTotal

  • Elenco dei rappresentanti di ET Intelligence: verifica l'elenco dei rappresentanti delle minacce emergenti (ET) di ProofPoint e elenca le minacce note legate a domini e indirizzi IP specifici.