Indagine su un dominio
Chronicle ti consente di analizzare domini specifici per determinare se sono presenti all'interno della tua azienda e dell'impatto che questi sistemi esterni potrebbero avere avuto sugli asset. La visualizzazione del dominio deriva dai dati e dalle informazioni sulla sicurezza che hai inoltrato a Chronicle. Assicurati di importare e normalizzare i dati dai dispositivi sulla rete, ad esempio EDR, firewall, proxy web e così via
Per accedere alla visualizzazione Dominio in Chronicle, completa i seguenti passaggi:
- Inserisci il dominio (che termina con un suffisso pubblico noto) o l'URL che devi esaminare nella barra di ricerca nella parte superiore dell'interfaccia utente.
- Fai clic su CERCA. Se il dominio è presente all'interno della tua azienda, si apre la visualizzazione Dominio.
Contesto del dominio
Vista del dominio
1 risorsa
Visualizza gli asset univoci all'interno della tua azienda che si sono collegati a un determinato dominio, tra cui un riepilogo della prima volta in cui l'asset ha eseguito l'accesso al dominio.
2 WHOIS
Chronicle mostra le informazioni WHOIS associate al dominio registrato. Queste informazioni possono essere utili per valutare la reputazione di un dominio.
3 Prevalenza
Chronicle fornisce una rappresentazione grafica della prevalenza storica di un determinato FQDN e del relativo dominio di primo livello. Questo grafico può essere utilizzato per determinare se l'accesso al dominio dall'azienda è stato eseguito in precedenza e può fornire un'indicazione relativa all'associazione del dominio a una determinata campagna indirizzata all'azienda. In genere, i domini meno diffusi, quelli a cui meno risorse sono connesse, possono rappresentare una minaccia maggiore per la tua azienda.
4 Insight sul dominio
Gli approfondimenti sul dominio forniscono un maggiore contesto sui domini oggetto di indagine. Puoi utilizzarli per determinare se un dominio è innocuo o dannoso. Inoltre, ti consentono di esaminare ulteriormente un indicatore per verificare se esiste un compromesso più ampio.
IP risolti: tutti gli indirizzi IP risolti che sono stati visualizzati nella tua organizzazione per un determinato nome di dominio completo. Ad esempio:
- Cerca test.altostrat.com (nome di dominio completo)
- Vengono visualizzati due indirizzi IP risolti (198.51.100.81 e 203.0.113.81)
Sottodomini associati: tutti i sottodomini associati visualizzati nella tua organizzazione per un determinato nome di dominio completo. Per gli attacchi, molti utenti malintenzionati utilizzano lo stesso dominio e sottodominio. Ad esempio:
- Cerca sandbox.altostrat.com (nome di dominio completo)
- Vengono visualizzati due sottodomini (test.sandbox.altostrat.com e staging.sandbox.altostrat.com)
Domini di pari livello: tutti i domini di pari livello presenti nella tua organizzazione per un determinato nome di dominio completo a un determinato livello. Ad esempio:
- Cerca sandbox.altostrat.com
- Viene visualizzato 1 dominio di pari livello (foo.altostrat.com)
VirusTotal Insights: riepilogo delle informazioni contestuali da VirusTotal
Elenco dei rappresentanti di ET Intelligence: verifica l'elenco dei rappresentanti delle minacce emergenti (ET) di ProofPoint e elenca le minacce note legate a domini e indirizzi IP specifici.