ドメインを調査する

Chronicle を使用すると、特定のドメインを調査し、企業内における存在の有無と、これらの外部システムがアセットに及ぼした影響を把握できます。ドメインビューは、Chronicle に転送したセキュリティ情報とデータから派生します。EDR、ファイアウォール、ウェブプロキシなどのネットワーク上のデバイスからデータを取り込んで正規化していることを確認します。

Chronicle で [Domain] ビューにアクセスする方法は次のとおりです。

  1. 調査する必要があるドメイン(末尾が既知のパブリック サフィックス)または URL を、ユーザー インターフェースの上部にある検索バーに入力します。
  2. [検索] をクリックします。ドメインが存在する場合、[DOMAINS] という見出しの下に表示されます。ドメイン名のリンクをクリックして、[ドメイン] ビューにピボットします。ドメインが社内に存在する場合は、ドメインビューに追加情報が表示されます。ドメインが存在しない場合、ドメインビューは空になります。

ドメイン コンテキスト

[Domain] ビュー [ドメイン] ビュー

1 VT コンテキスト

[VT コンテキスト] をクリックして、このドメインで利用可能な VirusTotal 情報を表示します。

2 WHOIS

Chronicle は、登録済みドメインに関連付けられた WHOIS 情報を表示します。この情報は、ドメインの評判を評価する際に役立ちます。

3 罹患率

Chronicle は、特定の FQDN とその TLD の過去の普及状況をグラフで表現します。このグラフから、ドメインが企業内から以前アクセスされたかどうかを判別でき、企業を対象とする特定のキャンペーンとドメインが関連付けられているかどうかがわかります。通常、あまり普及していない IP アドレス(接続されるアセットが少ないアドレス)は、企業に対する脅威の増大につながる可能性があります。

普及率グラフの棒の上にポインタを置くと、グラフにはドメインにアクセスしたアセットが一覧表示されます。DNS サーバーは普及率が高いため、リスト表示されません。すべてのアセットが DNS サーバーである場合、アセットはリスト表示されません。

4 ドメイン分析情報

ドメイン分析情報では、調査中のドメインに関するより多くのコンテキストが提供されます。 この情報を使用して、ドメインが無害か悪意かを判断できます。また、指標をさらに調査して、広範囲に及ぶ侵害があるかどうかを判定することもできます。

表示されるドメイン分析情報は、Chronicle アカウント内のドメインに関連付けられた情報の状況によって異なりますが、次の情報が含まれます。

  • ET Intelligence Rep List: ProofPoint の Emerging Threats(ET)Intelligence Rep List と照合して、特定の IP アドレスとドメインに関連付けられた既知の脅威を一覧表示します。

  • ESET Threat Intelligence: ESET の脅威インテリジェンス サービスをチェックします。

  • 解決済み IP: 特定の完全修飾ドメイン名に関して、組織で確認されたすべての解決済み IP アドレス。例:

    • test.altostrat.com(完全修飾ドメイン名)を検索
    • 2 つの解決済み IP(198.51.100.81 と 203.0.113.81)が表示されます。
  • 関連付けられているサブドメイン: 組織内で完全修飾ドメイン名として参照されたすべての関連サブドメイン。多くの攻撃者は、攻撃に同じドメインとサブドメインを使用しています。例:

    • sandbox.altostrat.com(完全修飾ドメイン名)を検索
    • 2 つのサブドメイン(test.sandbox.altostrat.com と staging.sandbox.altostrat.com)が表示されます。
  • 兄弟ドメイン: 組織で特定のレベルで特定の完全修飾ドメイン名に関して識別されたすべての兄弟ドメイン。次に例を示します。

    • sandbox.altostrat.com を検索
    • 1 個の兄弟ドメイン(foo.altostrat.com)が表示されます

Timeline

[タイムライン] タブには、ドメインのすべてのイベントが表示されます。[アセット ID] 列には、アセット ID が表示されます。少数のケースでは、Chronicle がアセット ID をアセットの IP アドレスに置き換えます。