Investigar um domínio

Com o Chronicle, é possível investigar domínios específicos para determinar se há algum na sua empresa e qual impacto esses sistemas externos podem ter causado nos recursos.

Para acessar a visualização Domain no Chronicle, siga estas etapas:

Digite o domínio (que termina com um sufixo público conhecido) ou o URL na barra de pesquisa na página de destino do Chronicle.
Clique em Pesquisar. Se o domínio estiver presente na sua empresa, ele vai aparecer no cabeçalho Domínios. Clique no link do nome do domínio para alternar para a visualização Domínio. Se o domínio estiver presente na sua empresa, mais informações serão exibidas na visualização Domínio. Se o domínio não estiver presente, a visualização Domínio estará vazia.

Observação: a pesquisa de UDM oferece recursos aprimorados que permitem realizar investigações mais completas dos eventos e alertas na sua instância do Chronicle do que seria possível apenas com a visualização Domínio. Para mais informações, consulte Pesquisa de UDM.

contexto sobre o domínio

Visualização do domínio Visualização de domínio

1 Contexto VT

Clique em Contexto do VT para ver as informações do VirusTotal disponíveis para este domínio.

2 WHOIS

O Chronicle mostra as informações de WHOIS (link em inglês) associadas ao domínio registrado. Essas informações podem ser úteis ao avaliar a reputação de um domínio.

3 Prevalência

O Chronicle fornece uma representação gráfica da prevalência histórica de um determinado FQDN e do respectivo TLD. Esse gráfico pode ser usado para determinar se o domínio foi acessado dentro da empresa antes e pode indicar se o domínio está associado a uma campanha específica que visa a empresa. Normalmente, domínios menos prevalentes, aos quais menos recursos se conectaram, podem representar uma ameaça maior para sua empresa.

Quando você mantém o ponteiro sobre uma barra no gráfico Prevalência, o gráfico lista os recursos que acessaram o domínio. Devido à alta prevalência de servidores DNS, eles não são listados. Se todos os recursos forem servidores DNS, nenhum recurso será listado.

4 Insights do domínio

Os insights sobre domínios oferecem mais contexto sobre os domínios em investigação. Eles podem ser usados para determinar se um domínio é benigno ou malicioso. Elas também permitem investigar mais detalhadamente um indicador para determinar se há um comprometimento mais amplo.

Os insights de domínio exibidos variam de acordo com a disponibilidade das informações associadas ao domínio na sua conta do Chronicle, mas podem incluir o seguinte:

Lista de representantes de inteligência do ET:verifica a lista de representantes da inteligência sobre ameaças emergentes (ET) da ProofPoint e lista ameaças conhecidas vinculadas a endereços IP e domínios específicos.
ESET Threat Intelligence:verifica o serviço de inteligência contra ameaças do ESET.
IPs resolvidos: todos os endereços IP resolvidos que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Exemplo:
- Procure por test.altostrat.com (nome de domínio totalmente qualificado)
- 2 IPs resolvidos (198.51.100.81 e 203.0.113.81) são exibidos
Subdomínios associados: todos os subdomínios associados que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Muitos adversários usam o mesmo domínio e subdomínio para seus ataques. Exemplo:
- Pesquise sandbox.altostrat.com (nome de domínio totalmente qualificado)
- Dois subdomínios (test.sandbox.altostrat.com e staging.sandbox.altostrat.com) estão sendo mostrados
Domínios irmãos: todos os domínios irmãos que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado em um determinado nível. Exemplo:
- Pesquisar sandbox.altostrat.com
- 1 domínio irmão (foo.altostrat.com) é exibido

Cronograma

A guia Cronograma lista todos os eventos do domínio. A coluna Identificador de recursos mostra o ID do recurso. Em um pequeno número de casos, o Chronicle substitui o ID do recurso pelo endereço IP do recurso.

Considerações

A visualização de domínio tem as seguintes limitações:

Somente 1.000 eventos podem ser exibidos nesta visualização.
Só é possível filtrar eventos que são mostrados nesta visualização.
Somente os tipos de evento DNS, EDR e Webproxy são preenchidos nessa visualização. As informações visualizadas pela primeira e pela última vez preenchidas nessa visualização também são limitadas a esses tipos de evento.
Eventos genéricos não aparecem em nenhuma das vistas selecionadas. Eles aparecem apenas nas pesquisas de registros brutos e UDMs.