ドメインの調査

Chronicle を使用すると、特定のドメインを調査し、企業内における存在の有無と、これらの外部システムがアセットに及ぼした影響を判別できます。ドメインビューは、Chronicle に転送したセキュリティ情報とデータから派生します。EDR、ファイアウォール、ウェブプロキシなどのネットワーク上のデバイスからデータを取り込んで正規化していることを確認します。

Chronicle で [Domain] ビューにアクセスする方法は次のとおりです。

  1. 調査する必要があるドメイン(末尾が既知のパブリック サフィックス)または URL を、ユーザー インターフェースの上部にある検索バーに入力します。
  2. [検索] をクリックします。 ドメインが社内に存在している場合は、[Domain] ビューが表示されます。

ドメイン コンテキスト

[Domain] ビュー [Domain] ビュー

1 アセット

アセットが最初と最後にドメインにアクセスした日時や直近の日時など、特定のドメインに接続されている企業内の一意のアセットが表示されます。

2 WHOIS

Chronicle は、登録済みドメインに関連付けられた WHOIS 情報を表示します。この情報は、ドメインの信頼性を評価する際に有効です。

3 罹患率

Chronicle は、特定の FQDN とその TLD の過去の普及率をグラフィカルに表現します。このグラフから、ドメインが企業内から以前アクセスされたかどうかを判別でき、企業を対象とする特定のキャンペーンとドメインが関連付けられているかどうかがわかります。通常、普及率が低いドメイン(接続されたアセットが少ないドメイン)は、企業に対する脅威の程度が高くなる可能性があります。

4 ドメイン分析情報

ドメイン分析情報では、調査中のドメインに関するより多くのコンテキストが提供されます。この情報を使用して、ドメインが無害であるか悪性であるかを判断できます。また、指標をさらに調査して、広範囲に及ぶ不正使用があるかどうかを判定することもできます。

  • 解決済み IP: 特定の完全修飾ドメイン名に関して、組織で確認されたすべての解決済み IP アドレス。例:

    • test.altostrat.com(完全修飾ドメイン名)を検索する
    • 2 つの解決済み IP(198.51.100.81 と 203.0.113.81)が表示されます。
  • 関連付けられているサブドメイン: 特定の完全修飾ドメイン名に関して、組織で確認されたすべての関連付けられているサブドメイン。多くの攻撃者は、攻撃に同じドメインとサブドメインを使用しています。例:

    • sandbox.altostrat.com を検索(完全修飾ドメイン名)
    • 2 つのサブドメイン(test.sandbox.altostrat.com と staging.sandbox.altostrat.com) が表示されます。
  • 兄弟ドメイン: 組織で特定のレベルで特定の完全修飾ドメイン名に関して識別されたすべての兄弟ドメイン。次に例を示します。

    • sandbox.altostrat.com を検索
    • 1 個の兄弟ドメイン(foo.altostrat.com)が表示されます
  • VirusTotal Insights: VirusTotal によるコンテキスト情報の概要

  • ET Intelligence Rep List: ProofPoint の Emerging Threats(ET)Intelligence Rep List と照合して、特定の IP アドレスとドメインに関連付けられた既知の脅威を一覧表示します。