ドメインの調査

Chronicle を使用すると、特定のドメインを調査し、企業内に存在するかどうか、およびこれらの外部システムがアセットに及ぼす影響を確認できます。[Domain] ビューは、Chronicle に転送したセキュリティ情報とデータから派生しています。ネットワーク上のデバイス(EDR、ファイアウォール、ウェブプロキシなど)からデータを取り込んで正規化していることを確認します。

Chronicle で [Domain] ビューにアクセスする方法は次のとおりです。

  1. 調査する必要があるドメイン(既知のパブリック サフィックス)または URL を、ユーザー インターフェースの上部にある検索バーに入力します。
  2. [検索] をクリックします。 ドメインが社内に存在している場合は、[Domain] ビューが表示されます。

ドメインのコンテキスト

[Domain] ビュー [Domain] ビュー

1 アセット

アセットが最初と最後にドメインにアクセスした日時や直近の日時など、特定のドメインに接続されている企業内の一意のアセットが表示されます。

2 WHOIS

Chronicle は、登録済みドメインに関連付けられた WHOIS 情報を表示します。この情報は、ドメインの評判を評価するのに役立ちます。

3 罹患率

Chronicle は、特定の FQDN とその TLD の過去の罹患率をグラフィカルに表現します。このグラフから、ドメインが企業内から以前にアクセスされたかどうかを判別し、企業を対象とする特定のキャンペーンにドメインが関連付けられているかどうかを確認できます。通常、より少ないドメイン(接続しているアセットが少ないドメイン)は、企業にとって大きな脅威となる可能性があります。

4 ドメイン分析情報

ドメイン分析情報では、調査中のドメインに関する詳しいコンテキストが提供されます。 この情報を使用して、ドメインが無害か悪意があるかを判断できます。また、より広範なセキュリティ侵害が存在するかどうかを判断するインジケーターを詳しく調査することもできます。

  • 解決済み IP: 組織で特定の完全修飾ドメイン名に関して確認されたすべての解決済み IP アドレス。例:

    • test.altostrat.com(完全修飾ドメイン名)を検索する
    • 2 つの解決済み IP(198.51.100.81 と 203.0.113.81)が表示されます。
  • 関連付けられているサブドメイン: 組織内で確認された、特定の完全修飾ドメイン名に関連付けられたすべてのサブドメイン。多くの攻撃者は、同じドメインとサブドメインを攻撃に使用します。次に例を示します。

    • sandbox.altostrat.com(完全修飾ドメイン名)を検索します。
    • 2 つのサブドメイン(test.sandbox.altostrat.com と staging.sandbox.altostrat.com)が表示される
  • 兄弟ドメイン: 組織で特定のレベルで特定の完全修飾ドメイン名に関して識別されたすべての兄弟ドメイン。次に例を示します。

    • sandbox.altostrat.com を検索
    • 1 個の兄弟ドメイン(foo.altostrat.com)が表示されます
  • VirusTotal Insights: VirusTotal によるコンテキスト情報の概要

  • ET Intelligence Rep List: ProofPoint の Emerging Threats(ET)Intelligence Rep List と照合して、特定の IP アドレスとドメインに関連付けられた既知の脅威を一覧表示します。