Dossier(ドシエ)機能とは？ドメインの脅威調査ツールについて

以前掲載したブログにてPDNSについてご紹介をさせていただきました。
本ブログではPDNS製品であるInfoblox Threat Defenseのクラウド版をご利用時に使用できるDossier(ドシエ)機能についてご紹介させていただきます。

■Dossier(ドシエ)とは？

Dossierは、脅威調査に欠かせないツールであり、URL、IPアドレス、ドメイン名、ハッシュ値などの情報から脅威レベルや登録者情報などを検索することができます。
Infoblox Threat Defenseをご使用いただいた際にブロックをしたけど本当に危険なサイトなのかわからないという場合や、本当にURLが安全なのか事前に確かめる際に非常に役立つツールとなります。

■Dossier(ドシエ)の使い方

Infoblox Portalにログインいただき、ドメイン名などを検索いただくことで使用することができます。

実際に脅威ドメインを検索すると下記のような情報を確認することができます。
　①現在Activeかどうか
　②ドメインのWEB画面
　③Infobloxの脅威インテリジェンスチームによる分析
　④どのFEEDで検出されたか
　⑤登録所有者情報(WHOIS)
　⑥ドメインが登録されてからの脅威レベルのタイムライン情報

上記以外にもCurrent DNSで現在のIPやネームサーバーなど様々な情報を確認が可能です。

また、検索したドメインが安全であればwhite list、危険であればBlack listに追加など即座にできますのでInfoblox Threat Defenseと併せてご使用いただければと思います。

■まとめ

本ブログではDossier(ドシエ)機能について紹介させていただきました。
Dossier(ドシエ)機能やPDNSに興味がございましたら、PoCを行う事もできますので気軽にご相談下さい。