Como investigar um domínio

Com o Chronicle, é possível investigar domínios específicos para determinar se há algum dentro da empresa e qual o impacto desses sistemas externos nos recursos. A visualização de domínio é derivada das informações de segurança e dados que você encaminhou ao Chronicle. Verifique se você está processando e normalizando dados de dispositivos na sua rede, como EDR, firewall, proxy da Web etc.

Para acessar a visualização de domínio no Chronicle, conclua as seguintes etapas:

  1. Digite o domínio (terminado com um sufixo público conhecido) ou o URL que você precisa investigar na barra de pesquisa na parte superior da interface do usuário.
  2. Clique em PESQUISAR. Se o domínio estiver presente na sua empresa, você será direcionado para a visualização "Domain".

Contexto do domínio

Visualização do domínio Visualização do domínio

1 recurso

Exibe os recursos exclusivos da empresa que se conectaram a determinado domínio, incluindo um resumo da primeira vez que o recurso acessou o domínio e o horário mais recente.

2 WHOIS

O Chronicle exibe as informações do WHOIS associadas ao domínio registrado. Essas informações podem ser úteis ao avaliar a reputação de um domínio.

3 prevalência

O Chronicle oferece uma representação gráfica da prevalência histórica de um determinado FQDN e do respectivo TLD. Esse gráfico pode ser usado para determinar se o domínio foi acessado anteriormente na empresa e pode indicar se o domínio está associado a uma determinada campanha segmentada para a empresa. Normalmente, os domínios menos frequentes, a que menos recursos estão conectados, podem representar uma ameaça maior para a empresa.

Quatro insights de domínio

Os insights de domínio fornecem mais contexto sobre domínios em investigação. É possível usá-las para determinar se um domínio é benigno ou malicioso. Elas também permitem investigar um indicador para determinar se há um comprometimento mais amplo.

  • IPs resolvidos: todos os endereços IP resolvidos que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Exemplo:

    • Pesquise por test.altostrat.com (nome de domínio totalmente qualificado)
    • Dois IPs resolvidos (198.51.100.81 e 203.0.113.81) são exibidos.
  • Subdomínios associados: todos os subdomínios associados que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Muitos invasores usam o mesmo domínio e subdomínio para ataques. Exemplo:

    • Pesquisar sandbox.altostrat.com (nome de domínio totalmente qualificado)
    • São exibidos dois subdomínios (test.sandbox.altostrat.com e staging.sandbox.altostrat.com).
  • Domínios irmãos: todos os domínios irmãos vistos na sua organização para um determinado Nome de domínio totalmente qualificado em um determinado nível. Exemplo:

    • Pesquisar sandbox.altostrat.com
    • 1 domínio irmão (foo.altostrat.com) é exibido
  • VirusTotal Insights:resumo das informações contextuais do VirusTotal

  • Lista de representantes de inteligência intelectual do ET:verifica a lista de representantes de inteligência emergente do ProofPoint e lista as ameaças conhecidas vinculadas a endereços e domínios de IP específicos.