BLOG – Meraki e Umbrella – Como investigar os eventos – parte 9

Olá Pessoal,

   Para não esquecermos existe uma série muito interessante para você entender sobre essa duas plataformas integradas, portanto recomendo também observar os outros posts e para quem esta seguindo nossa ” dedicatória “   desta solução pode acompanhar que teremos mais um ítem interessante para discutir hoje.

   Basicamente hoje a idéia seria explorar as facilidades que temos integrado no Dashboard Umbrella para executar algumas investigações relacionado aos domínios que você está investigando, bem como entender um pouco melhor sobre o domínio em questão.

   Uma curiosidade que gostaria de saber de vocês, portanto deixem suas dicas nos comentários, pois quero também aprender. Como vocês investigam os dominios? Quais sites vocês pesquisam sobre os dominios, IP correspondentes, categorias, provedor de hospedagem, DNS autoritativos, etc?

Análise

   Para que possamos obter as informações precisamos avaliar dentro do menu ” Investigate “ e pesquisar diretamente pela ” URL “ ou trabalhar como validações usando ” RegEx “.

   Para simples validação, vamos obter uma informação relacionado uma situação que acabou ocorrendo, devido algum erro de digitação ou redirecionamentos para nomes as vezes muito parecidos. Nesse nosso exemplo detectei que o Umbrella classificou esse site ” bancointer.co ” como ” Malware “, portanto vamos observar como isso foi definido.

   Através desses gráficos temos como detectar a quantidade de solicitações que foram feitas para esse dominio e detectado pelo Umbrella ( Globalmente ) e começamos a ter já algumas suspeitas, pois a quantidade é muito baixa e se correr na linha tempo vamos avaliar que permanece em muitos dos casos abaixo desses valores, bem como você consegue analisar que houve um ” DNS Change ” recentemente, entretanto isso em muitos casos pode acontecer mas é interessante consultar as mudanças.

   Para um segundo estágio podemos avaliar quais os endereços IPs estão respondendo para esse serviço e podemos suspeitar que mapeado para esse endereço temos algo co-relacionado a ” Malware “.

   Com isso é interessante já consolidar sobre um desses endereços e avaliar quem é o ” owner “ e sua respectiva empresa detentora desse endereço.

   Através desse status, para meu exemplo, já verificamos a quantidade de domínios que estão hospedados nesse IP e respondem como sendo um ” Malware “.

   Logo após, você ja consegue avaliar os ” resolvers “ sobre esse domínio e avaliar o que temos para consolidar.

   Se deseja obter maiores informações sobre o ASN “ Autonomous System Number “, também já é possivel observar diretamente pela ferramenta, bem como ter uma mapeamento interessante sobre qual dominio está respondendo para seu respectivo range de IP.

   E para finalizar com um dominio já categorizado como sendo ” Malware “ evidenciado pela ferramenta e desde de quando isso foi categorizado ( simbolizado pela linha vermelha ).

   Conforme também evidenciado podemos fazer algumas consultas utilizando ” pattern search ” que nada mais é relacionado à uma pesquisa mais qualitativa/quantitativa sobre as variações que podemos obter nos endereços de websites. Caso queira entender um pouco melhor sobre a pesquisa utilizando essa técnica, recomendo observar o site da documentação Umbrella, bem como consolidar online se sua pesquisa está relacionando ao fato que você esta buscando. 

Conclusão

   Eu achei interessante essa parte de investigação, pois de alguma forma ela segue um fluxo para que possamos avaliar alguns domínios, e se de fato são reais ou obscuros ( rs ). Assim, não precisamos percorrer por diversas ferramentas/websites sobre essa investigação.

   Para vocês isso faz sentido? Conforme deixei a pergunta no ínicio, vocês seguem esses caminhos para algumas consolidações?

   Deixe seu comentário!!!

Abs,
Rodrigo

 

0
0

Link permanente para este artigo: https://ciscoredes.com.br/2019/12/09/blog-meraki-e-umbrella-como-investigar-os-eventos-parte-9/

Deixe uma resposta

Seu e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Translate