调查网域
借助 Chronicle,您可以调查特定网域,以确定您的企业中是否存在此类网域,以及这些外部系统可能会对您的资产造成何种影响。
如需在 Chronicle 中访问网域视图,请完成以下步骤:
在 Chronicle 着陆页的搜索栏中输入域名(以已知的公共后缀结尾)或网址。
点击搜索。如果您的企业中存在该网域,则该网域将列在网域标题下。点击域名链接可透视到网域视图。如果您的企业中存在网域,则网域视图中会显示其他信息。如果没有网域,网域视图将为空。
网域上下文
“网域”视图
1 项 VT 背景信息
点击 VT Context(VT 上下文),查看此网域可用的 VirusTotal 信息。
2 WHOIS
Chronicle 会显示与注册域名关联的 WHOIS 信息。在评估网域的声誉时,这些信息非常有用。
3 普及率
Chronicle 以图形方式呈现给定 FQDN 及其 TLD 的历史普及率。此图表可用于确定之前是否从企业内部访问了该网域,并且能够指示该网域是否与针对企业的特定广告系列相关联。通常情况下,不太普遍的网域(即所连接资产较少的网域)可能会对您的企业造成更大的威胁。
将指针悬停在普及率图表中的某个柱形上时,该图表会列出访问该网域的资源。由于 DNS 服务器普及率较高,因此未列出。如果所有资产都是 DNS 服务器,则系统不会列出任何资产。
4 域名数据洞察
域名数据洞察为您提供了有关正在调查的网域的更多背景信息。您可以使用它们来确定网域是良性还是恶意。此外,您还可以进一步调查指标,以确定是否存在更广泛的危害。
显示的网域数据分析取决于 Chronicle 账号中与网域关联的信息的可用性,但可能包括以下内容:
ET Intelligence Rep List(ET 情报代表列表):检查 ProofPoint 的新兴威胁 (ET) 情报代表列表,并列出与特定 IP 地址和网域相关的已知威胁。
ESET Threat Intelligence:对 ESET 的威胁情报服务进行检查。
解析的 IP:在您的组织中看到的给定完全限定域名的所有已解析 IP 地址。例如:
- 搜索 test.altostrat.com(完全限定域名)
- 系统会显示 2 个已解析的 IP(198.51.100.81 和 203.0.113.81)
关联的子网域:在给定完全限定域名的贵组织中看到的所有关联子网域。许多攻击者使用相同的网域和子网域进行攻击。例如:
- 搜索 sandbox.altostrat.com(完全限定域名)
- 显示 2 个子网域(test.sandbox.altostrat.com 和 staging.sandbox.altostrat.com)
同级网域:在贵组织中针对指定级别的给定完全限定域名显示的所有同级网域。例如:
- 搜索 sandbox.altostrat.com
- 显示 1 个同级网域 (foo.altostrat.com)
时间表
时间轴标签页会列出该网域的所有事件。资产标识符列会显示资产 ID。在少数情况下,Chronicle 会将资产 ID 替换为资产的 IP 地址。
注意事项
网域视图具有以下限制:
- 此视图中只能显示 1000 个活动。
- 您只能过滤此视图中显示的事件。
- 此视图中仅填充 DNS、EDR 和 Webproxy 事件类型。在此视图中填充的“首次出现”和“上次出现时间”信息也仅限于这些事件类型。
- 常规事件不会出现在任何精选视图中。它们仅出现在原始日志和 UDM 搜索结果中。