ドメインを調査する

Chronicle を使用すると、特定のドメインを調査し、企業内における存在の有無と、これらの外部システムがアセットに及ぼした影響を把握できます。

Chronicle で [ドメイン] ビューにアクセスする方法は次のとおりです。

Chronicle ランディングページの検索バーにドメイン（末尾が既知のパブリックサフィックス）または URL を入力します。
[検索] をクリックします。ドメインが企業に存在する場合は、[ドメイン] ビュー見出しの下に表示されます。ドメイン名のリンクをクリックして、[ドメイン] ビューにピボットします。ドメインが社内に存在している場合は、[ドメイン] ビューに追加情報が表示されます。ドメインが存在しない場合、[ドメイン] ビューは空になります。

注: UDM 検索は、Chronicle インスタンス内のイベントとアラートについて、[ドメイン] ビューだけでは不可能な、より詳細な調査を可能にする強化された機能を提供します。詳細については、UDM 検索をご覧ください。

ドメインコンテキスト

[Domain] ビュー [ドメイン] ビュー

1 VT コンテキスト

[VT コンテキスト] をクリックして、このドメインで利用可能な VirusTotal 情報を表示します。

2 WHOIS

Chronicle に、登録されたドメインに関連付けられている WHOIS 情報が表示されます。この情報は、ドメインを評価する際に役立ちます。

3 罹患率

Chronicle は、特定の FQDN とその TLD の過去の罹患状況をグラフで表現します。このグラフは、以前にドメインが企業内からアクセスされているかどうかを判定するために使用できます。また、このドメインが企業を対象とする特定のキャンペーンに関連付けられているかどうかを示すこともできます。通常、あまり普及していない IP アドレス（接続されるアセットが少ないアドレス）は、企業に対する脅威の増大につながる可能性があります。

[罹患率] グラフの棒の上にポインタを置くと、グラフにはドメインにアクセスしたアセットが一覧表示されます。DNS サーバーは罹患率が高いため、リスト表示されません。すべてのアセットが DNS サーバーである場合、アセットはリスト表示されません。

4 ドメイン分析情報

ドメイン分析情報では、調査中のドメインに関するより多くのコンテキストが提供されます。この情報を使用して、ドメインが無害か悪意かを判断できます。また、指標をさらに調査して、広範囲に及ぶ侵害があるかどうかを判定することもできます。

表示されるドメイン分析情報は、Chronicle アカウント内のドメインに関連付けられた情報の可用性によって異なりますが、次のものが含まれる可能性があります。

ET Intelligence Rep List: ProofPoint の Emerging Threats（ET）Intelligence Rep List と照合して、特定の IP アドレスとドメインに関連付けられた既知の脅威を一覧表示します。
ESET Threat Intelligence: ESET の脅威インテリジェンスサービスをチェックします。
解決済み IP: 特定の完全修飾ドメイン名に関して、組織で確認されたすべての解決済み IP アドレス。次に例を示します。
- test.altostrat.com（完全修飾ドメイン名）を検索
- 2 つの解決済み IP（198.51.100.81 と 203.0.113.81）が表示されます。
関連付けられているサブドメイン: 特定の完全修飾ドメイン名に関して、組織で確認された、関連するすべてのサブドメイン。多くの攻撃者は、同じドメインとサブドメインを使用して攻撃を行います。次に例を示します。
- sandbox.altostrat.com（完全修飾ドメイン名）を検索
- 2 つのサブドメイン（test.sandbox.altostrat.com と staging.sandbox.altostrat.com）が表示されます
兄弟ドメイン: 組織で特定のレベルで特定の完全修飾ドメイン名に関して識別されたすべての兄弟ドメイン。次に例を示します。
- sandbox.altostrat.com を検索
- 1 個の兄弟ドメイン（foo.altostrat.com）が表示されます

Timeline

[タイムライン] タブに、ドメインのすべてのイベントが一覧表示されます。[アセット ID] 列にはアセット ID が表示されます。まれに、Chronicle によってアセット ID がアセットの IP アドレスに置き換えられます。

考慮事項

[Domain] ビューには次の制限があります。

このビューには、1,000 件のイベントのみを表示できます。
フィルタできるのは、このビューに表示されるイベントのみです。
このビューでは、DNS、EDR、Webproxy のイベントタイプのみが入力されます。このビューに入力される最初の検知と最後の検知の情報も、これらのイベントタイプに限定されます。
汎用イベントは、キュレートされたビューには表示されません。未加工ログと UDM 検索にのみ表示されます。