Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Investigar um domínio

Com o Chronicle, é possível investigar domínios específicos para determinar se algum deles está presente na sua empresa e o impacto que esses sistemas externos podem ter sobre os recursos. A visualização do domínio é derivada das informações de segurança e dos dados que você encaminhou ao Chronicle. Certifique-se de ingerir e normalizar dados de dispositivos na sua rede, como EDR, firewall, proxy da Web etc.

Para acessar a visualização do domínio no Chronicle, siga estas etapas:

  1. Insira o domínio (que termina com um sufixo público conhecido) ou o URL que você precisa investigar na barra de pesquisa na parte superior da interface do usuário.
  2. Clique em PESQUISAR. Se o domínio existir, ele será listado no cabeçalho DOMAINS. Clique no link do nome de domínio para ir para a visualização "Domínio". Se o domínio estiver presente na sua empresa, mais informações serão exibidas na visualização de domínio. Se o domínio não estiver presente, a visualização "Domínio" estará vazia.

contexto sobre o domínio

Visualização do domínio Visualização do domínio

1 VT Contexto

Clique em Contexto VT para ver as informações do VirusTotal disponíveis para este domínio.

2 WHOIS

O Chronicle exibe as informações do WHOIS associadas ao domínio registrado. Essas informações podem ser úteis ao avaliar a reputação de um domínio.

3 Frequência

O Chronicle oferece uma representação gráfica da prevalência histórica de um determinado FQDN e do respectivo TLD. Esse gráfico pode ser usado para determinar se o domínio já foi acessado dentro da empresa e pode indicar se o domínio está associado a uma campanha específica que segmenta a empresa. Normalmente, domínios menos conhecidos, aqueles aos quais menos recursos estão conectados, podem representar uma ameaça maior à sua empresa.

4 Insights de domínio

Os insights de domínio oferecem mais contexto sobre os domínios em análise. Você pode usá-las para determinar se um domínio é benigno ou malicioso. Elas também permitem investigar melhor um indicador para determinar se há um comprometimento maior.

Os insights exibidos variam de acordo com a disponibilidade das informações associadas ao domínio na sua conta do Chronicle, mas podem incluir:

  • Lista de representantes do Intel Intelligence: ET: verifica a lista de representantes de ameaças emergentes (ET) do ProofPoint e lista ameaças conhecidas vinculadas a endereços IP e domínios específicos.

  • ESET Threat Intelligence: verifica o serviço de inteligência contra ameaças do ESET'

  • IPs resolvidos:todos os endereços IP resolvidos que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Exemplo:

    • Pesquise test.altostrat.com (nome de domínio totalmente qualificado)
    • Dois IPs resolvidos (198.51.100.81 e 203.0.113.81) são exibidos
  • Subdomínios associados:todos os subdomínios associados que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Muitos adversários usam o mesmo domínio e subdomínio para os ataques. Exemplo:

    • Pesquisar sandbox.altostrat.com (nome de domínio totalmente qualificado)
    • Dois subdomínios (test.sandbox.altostrat.com e staging.sandbox.altostrat.com) são exibidos
  • Domínios idênticos: todos os domínios irmãos vistos na sua organização para um determinado nome de domínio totalmente qualificado em um determinado nível. Exemplo:

    • Pesquise sandbox.altostrat.com
    • 1 domínio irmão (foo.altostrat.com) é exibido