调查网域

借助 Chronicle，您可以调查特定网域，以确定您的企业中是否存在此类网域，以及这些外部系统可能会对您的资产造成何种影响。

如需在 Chronicle 中访问网域视图，请完成以下步骤：

1. 在 Chronicle 着陆页的搜索栏中输入域名（以已知的公共后缀结尾）或网址。

2. 点击搜索。如果您的企业中存在该网域，则该网域将列在网域标题下。点击域名链接可透视到网域视图。如果您的企业中存在网域，则网域视图中会显示其他信息。如果没有网域，网域视图将为空。

网域上下文

“网域”视图

1 项 VT 背景信息

点击 VT Context（VT 上下文），查看此网域可用的 VirusTotal 信息。

2 WHOIS

Chronicle 会显示与注册域名关联的 WHOIS 信息。在评估网域的声誉时，这些信息非常有用。

3 普及率

Chronicle 以图形方式呈现给定 FQDN 及其 TLD 的历史普及率。此图表可用于确定之前是否从企业内部访问了该网域，并且能够指示该网域是否与针对企业的特定广告系列相关联。通常情况下，不太普遍的网域（即所连接资产较少的网域）可能会对您的企业造成更大的威胁。

将指针悬停在普及率图表中的某个柱形上时，该图表会列出访问该网域的资源。由于 DNS 服务器普及率较高，因此未列出。如果所有资产都是 DNS 服务器，则系统不会列出任何资产。

4 域名数据洞察

域名数据洞察为您提供了有关正在调查的网域的更多背景信息。您可以使用它们来确定网域是良性还是恶意。此外，您还可以进一步调查指标，以确定是否存在更广泛的危害。

显示的网域数据分析取决于 Chronicle 账号中与网域关联的信息的可用性，但可能包括以下内容：

• ET Intelligence Rep List（ET 情报代表列表）：检查 ProofPoint 的新兴威胁 (ET) 情报代表列表，并列出与特定 IP 地址和网域相关的已知威胁。

• ESET Threat Intelligence：对 ESET 的威胁情报服务进行检查。

• 解析的 IP：在您的组织中看到的给定完全限定域名的所有已解析 IP 地址。例如：

  • 搜索 test.altostrat.com（完全限定域名）
  • 系统会显示 2 个已解析的 IP（198.51.100.81 和 203.0.113.81）

• 关联的子网域：在给定完全限定域名的贵组织中看到的所有关联子网域。许多攻击者使用相同的网域和子网域进行攻击。例如：

  • 搜索 sandbox.altostrat.com（完全限定域名）
  • 显示 2 个子网域（test.sandbox.altostrat.com 和 staging.sandbox.altostrat.com）

• 同级网域：在贵组织中针对指定级别的给定完全限定域名显示的所有同级网域。例如：

  • 搜索 sandbox.altostrat.com
  • 显示 1 个同级网域 (foo.altostrat.com)

时间表

时间轴标签页会列出该网域的所有事件。资产标识符列会显示资产 ID。在少数情况下，Chronicle 会将资产 ID 替换为资产的 IP 地址。

注意事项

网域视图具有以下限制：

• 此视图中只能显示 1000 个活动。
• 您只能过滤此视图中显示的事件。
• 此视图中仅填充 DNS、EDR 和 Webproxy 事件类型。在此视图中填充的“首次出现”和“上次出现时间”信息也仅限于这些事件类型。
• 常规事件不会出现在任何精选视图中。它们仅出现在原始日志和 UDM 搜索结果中。