Investigar um domínio

O Chronicle permite que você investigue domínios específicos para determinar se há recursos na sua empresa e o impacto que esses sistemas externos podem ter nos seus recursos. A visualização do domínio é derivada das informações de segurança e dos dados que você encaminhou ao Chronicle. Verifique se você está processando e normalizando dados de dispositivos na sua rede, como EDR, firewall, proxy da Web etc.

Para acessar a visualização do domínio no Chronicle, siga estas etapas:

  1. Insira o domínio (que termina com um sufixo público conhecido) ou o URL que você precisa investigar na barra de pesquisa na parte superior da interface do usuário.
  2. Clique em PESQUISAR. Se o domínio existir, ele será listado no cabeçalho "DOMAINS". Clique no link de nome de domínio para mudar a visualização do domínio. Se o domínio estiver presente na empresa, mais informações vão aparecer na visualização "Domínio". Se o domínio não estiver presente, a visualização dele ficará vazia.

contexto sobre o domínio

Visualização do domínio Visualização do domínio

1 VT Contexto

Clique em VT Context para ver as informações do VirusTotal disponíveis para este domínio.

2 WHOIS

O Chronicle exibe as informações do WHOIS associadas ao domínio registrado. Essa informação pode ser útil para avaliar a reputação de um domínio.

3 Prevalência

O Chronicle oferece uma representação gráfica da prevalência histórica de um determinado FQDN e do respectivo TLD. Esse gráfico pode ser usado para determinar se o domínio foi acessado anteriormente na empresa e pode indicar se o domínio está associado a uma determinada campanha segmentada para a empresa. Geralmente, os domínios menos comuns, aqueles com menos recursos conectados, podem representar uma ameaça maior para sua empresa.

Quando você mantém o ponteiro sobre uma barra no gráfico Prioridade, o gráfico lista os recursos que acessaram o domínio. Devido à alta prevalência de servidores DNS, eles não estão listados. Se todos os recursos forem servidores DNS, nenhum recurso será listado.

4 Insights de domínio

Os insights de domínio dão mais contexto sobre os domínios que estão sendo investigados. Eles podem ser usados para determinar se um domínio é benigno ou malicioso. Elas também permitem investigar melhor um indicador para determinar se há um comprometimento mais amplo.

Os insights do domínio variam de acordo com a disponibilidade das informações associadas ao domínio na sua conta do Chronicle, mas podem incluir o seguinte:

  • Lista de representantes do ET Intelligence: verifica a lista de representantes do Intelligence emergente do ProofPoint e lista ameaças conhecidas vinculadas a endereços IP e domínios específicos.

  • ESET Threat Intelligence: verifica o serviço de inteligência contra ameaças da ESET.

  • IPs resolvidos:todos os endereços IP resolvidos que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Exemplo:

    • Pesquise por test.altostrat.com (nome de domínio totalmente qualificado)
    • 2 IPs resolvidos (198.51.100.81 e 203.0.113.81) são exibidos

  • Subdomínios associados: todos os subdomínios associados que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Muitos adversários usam o mesmo domínio e subdomínio para os ataques. Exemplo:

    • Pesquisar sandbox.altostrat.com (nome de domínio totalmente qualificado)
    • Dois subdomínios (test.sandbox.altostrat.com e staging.sandbox.altostrat.com) são exibidos

  • Domínios idênticos: todos os domínios irmãos que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado em um determinado nível. Exemplo:

    • Pesquisar sandbox.altostrat.com
    • 1 domínio irmão (foo.altostrat.com) é exibido

Cronograma

A guia Cronograma lista todos os eventos do domínio. A coluna Identificador de recursos mostra o ID do recurso. Em alguns casos, o Chronicle substitui o ID do recurso pelo endereço IP dele.