Investigar um domínio
Com o Chronicle, é possível investigar domínios específicos para determinar se há algum na sua empresa e qual impacto esses sistemas externos podem ter causado nos recursos.
Para acessar a visualização Domain no Chronicle, siga estas etapas:
Digite o domínio (que termina com um sufixo público conhecido) ou o URL na barra de pesquisa na página de destino do Chronicle.
Clique em Pesquisar. Se o domínio estiver presente na sua empresa, ele vai aparecer no cabeçalho Domínios. Clique no link do nome do domínio para alternar para a visualização Domínio. Se o domínio estiver presente na sua empresa, mais informações serão exibidas na visualização Domínio. Se o domínio não estiver presente, a visualização Domínio estará vazia.
contexto sobre o domínio
Visualização de domínio
1 Contexto VT
Clique em Contexto do VT para ver as informações do VirusTotal disponíveis para este domínio.
2 WHOIS
O Chronicle mostra as informações de WHOIS (link em inglês) associadas ao domínio registrado. Essas informações podem ser úteis ao avaliar a reputação de um domínio.
3 Prevalência
O Chronicle fornece uma representação gráfica da prevalência histórica de um determinado FQDN e do respectivo TLD. Esse gráfico pode ser usado para determinar se o domínio foi acessado dentro da empresa antes e pode indicar se o domínio está associado a uma campanha específica que visa a empresa. Normalmente, domínios menos prevalentes, aos quais menos recursos se conectaram, podem representar uma ameaça maior para sua empresa.
Quando você mantém o ponteiro sobre uma barra no gráfico Prevalência, o gráfico lista os recursos que acessaram o domínio. Devido à alta prevalência de servidores DNS, eles não são listados. Se todos os recursos forem servidores DNS, nenhum recurso será listado.
4 Insights do domínio
Os insights sobre domínios oferecem mais contexto sobre os domínios em investigação. Eles podem ser usados para determinar se um domínio é benigno ou malicioso. Elas também permitem investigar mais detalhadamente um indicador para determinar se há um comprometimento mais amplo.
Os insights de domínio exibidos variam de acordo com a disponibilidade das informações associadas ao domínio na sua conta do Chronicle, mas podem incluir o seguinte:
Lista de representantes de inteligência do ET:verifica a lista de representantes da inteligência sobre ameaças emergentes (ET) da ProofPoint e lista ameaças conhecidas vinculadas a endereços IP e domínios específicos.
ESET Threat Intelligence:verifica o serviço de inteligência contra ameaças do ESET.
IPs resolvidos: todos os endereços IP resolvidos que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Exemplo:
- Procure por test.altostrat.com (nome de domínio totalmente qualificado)
- 2 IPs resolvidos (198.51.100.81 e 203.0.113.81) são exibidos
Subdomínios associados: todos os subdomínios associados que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado. Muitos adversários usam o mesmo domínio e subdomínio para seus ataques. Exemplo:
- Pesquise sandbox.altostrat.com (nome de domínio totalmente qualificado)
- Dois subdomínios (test.sandbox.altostrat.com e staging.sandbox.altostrat.com) estão sendo mostrados
Domínios irmãos: todos os domínios irmãos que foram vistos na sua organização para um determinado nome de domínio totalmente qualificado em um determinado nível. Exemplo:
- Pesquisar sandbox.altostrat.com
- 1 domínio irmão (foo.altostrat.com) é exibido
Cronograma
A guia Cronograma lista todos os eventos do domínio. A coluna Identificador de recursos mostra o ID do recurso. Em um pequeno número de casos, o Chronicle substitui o ID do recurso pelo endereço IP do recurso.
Considerações
A visualização de domínio tem as seguintes limitações:
- Somente 1.000 eventos podem ser exibidos nesta visualização.
- Só é possível filtrar eventos que são mostrados nesta visualização.
- Somente os tipos de evento DNS, EDR e Webproxy são preenchidos nessa visualização. As informações visualizadas pela primeira e pela última vez preenchidas nessa visualização também são limitadas a esses tipos de evento.
- Eventos genéricos não aparecem em nenhuma das vistas selecionadas. Eles aparecem apenas nas pesquisas de registros brutos e UDMs.