DomainTools虹膜调查
概述
恶意和可疑的在线活动造成了难以估量的伤害和经济损失,许多威胁行为者擅长隐藏,或至少保持低调。然而,无论他们的OpSec(操作安全)有多好,威胁行为者都会在他们身后留下一系列信息。分析人员和调查人员,无论其任务是保护组织还是对威胁行为者发起进攻,都必须基于最佳可用信息,对可疑的基础设施或身份进行威胁评估决策或推断。DomainTools Iris联合世界上最大的域配置文件数据存储与查询工具,补充和增强自然调查工作流程。
域名/DNS/IP相关调查可以采取许多不同的形式,朝着许多不同的方向,以追求相关和有用的信息。在SOC/NOC(安全/网络操作中心)中,威胁猎人或分析师可能会仔细研究威胁指标,以评估风险级别并确定适当的防御姿态——通常是在相当大的压力下实时进行的。在网络犯罪调查中,归因——知道在域名或IP地址上观察到的活动背后的“真正的人”——可能是一个关键目标,无论是起诉一个威胁行为人,还是作为一种评估特定实体构成的风险的手段。在所有情况下,这类调查经常涉及筛选许多不同的数据片段,以“连接点”,并追踪到一个有用的身份或主体的档案。
Iris的设计深受与一些世界上最好的网络情报调查人员密切合作的影响,以了解和建立他们的工作流程、目标和操作限制。
关键概念
Iris中的一些概念和隐喻将成为您使用该产品的中心。作为对产品本身的介绍,熟悉这些想法将是有帮助的。
- 搜索:大多数调查的切入点是一些数据,可能是域名、IP地址、人名等。虹膜的搜索框接受以上任何一个,以及更多,作为您的调查的起点。搜索函数对输入的数据类型进行智能猜测(例如,domaintools.com被解释为域;4.2.2.2被解释为IP地址等),并给出搜索的结果,然后您可以从这些结果开始更深入的探索。
- 调查:调查是与该工作相关的所有查询操作的组织“容器”。但是,您也可以在不指定调查的情况下执行特别搜索。
- 数据小组:各种类别的信息或数据的解释性表示显示在名为data Panels的窗格中,您可以根据需要添加、删除和重新排列这些窗格。示例数据面板是轴心引擎表,pDNS,可视化,Whois历史和统计。
- 旋转:“支点”的概念是许多调查的基础——也就是说,给定一个起点,发现与一个或多个相关项目的联系。例如,如果起点是一个域查找,那么一个公共轴心是在域注册人的电子邮件地址上。这个枢轴显示了DomainTools数据库中连接到该电子邮件地址的所有其他域。许多数据点充当轴心——ip地址、注册者名称、名称服务器等。Iris中显示的大多数数据类型都可以作为枢轴点。
- 操作菜单:许多数据点使轴心或其他探索成为可能。您可以右键单击这些数据点来调用Operations Menu,该菜单提供了推进调查的选项——通常是执行枢轴、启用筛选器或查看关于数据点的进一步详细信息。
开始
https://research.domaintools.com/iris/
Iris需要在DomainTools上使用企业帐户登录,您的帐户必须包含Iris访问权限。登录虹膜后,初始登陆页面显示一个搜索框,允许您从一些最常见的入口点开始调查:
- 域名(单个或列表,逗号或空格分隔)
- IP地址(单个或列表,逗号或空格分隔)或范围
- 注册人姓名(个人或组织)
- 注册邮箱(单个或列表,逗号或空格分隔)
- 名称服务器
- 注册人的电话号码
- SSL散列
输入其中一种查询类型将进入虹膜主界面,默认的数据面板显示(或准备显示)搜索结果。
如果您之前已经创建了一个调查,您还可以从登录页面打开一个现有的调查。
虹膜API
对于自动化或定制工具,可以在与交互式调查相一致的规模上使用虹膜数据(而不是大量的丰富),可以使用一个API端点提供与虹膜UI相同的数据集。点击这里查看更多关于API的信息.
虹膜接口
该界面有四个主要部分:
- 搜索和过滤栏
- 搜索历史记录
- 导航栏
- 面板数据
1)搜索和过滤栏2)搜索历史3)导航栏4)数据面板
搜索和过滤栏:Search框是向工具输入查询的地方。您的搜索词作为过滤器列在显示屏顶部的绿色框中,您可以通过直接从过滤器栏中删除过滤器(单击绿色框中的x)来修改查询。你也可以通过点击“返回”按钮重新查看之前的搜索。
搜索历史记录:这个显示记录了查询和轴心的“面包屑轨迹”。它可以帮助你追溯你的步骤,探索不同的调查分支,并创建一个步骤记录,使你得到一个特定的结论。您还可以在“搜索历史”中为每个节点添加注释。
导航栏:您可以创建或打开调查、开始特别搜索、调整布局或从导航栏返回主页。
数据面板:在这里,您可以通过搜索、筛选和轴心进行调查。每个数据面板都有特定的用途和显示的一组信息。
布置数据面板
有几种预定义的布局(数据面板的安排)。您可以选择您最喜欢的预定义布局,或者您可以通过单击“保存”图标来保存自定义布局。默认情况下,当您启动Iris时,所有数据面板都是活动的,尽管有些数据面板通过选项卡分组在一起。如果您使用的屏幕区域相对较小,您可能希望隐藏那些不经常使用的数据面板,以便给其他数据面板更多的空间。
您可以从屏幕底部的选项卡控制各个数据面板。
选项卡顶部的条告诉您是否包含每个选项卡(蓝色)、最小化(白色)或最大化(绿色)。
一旦确定了希望显示哪些数据面板(或仅使用默认值),就可以通过将面板标题拖到所需的新位置,灵活地安排它们,以适应您的工作流程和可用的显示区域。虹膜将显示面板的位置和方式,以及其他面板将如何重新排列,当您在空间内拖动它。
您还可以通过右键单击(或ctrl -click)选项卡来执行数据面板的以下操作:
- 劣质冲浪板在新的浏览器窗口中打开数据面板。然后,您可以将面板放置在您希望的任何位置。
- 最大化为所选数据面板提供整个数据面板空间。(您也可以通过双击选项卡来完成此操作。)
- 关闭:您可以完全关闭数据面板。要重新打开它,单击它的选项卡或转到右下角的Layouts控件,调用包含面板的布局。
最大化面板:通过双击选项卡,可以最大限度地利用面板的整个空间。面板最大化后,可以通过再次双击选项卡将其重新集成到空间中。
调整布局:通过点击面板控件并选择你想要的布局,你总是可以恢复默认或任何预设布局。
搜索历史记录
搜索轨迹显示在搜索历史栏中,当前(或最近)的搜索显示在右侧。历史图中的每个节点表示一个特定的查询。默认情况下,搜索历史有一个紧凑的显示。通过单击显示最右边的展开按钮,可以展开显示以查看分支。这将打开显示,以显示当前搜索中的任何分支。你亦可按显示历史;也能看到之前调查的所有搜索结果。
- 您可以单击搜索历史栏中的左右箭头,在历史追踪记录中的查询中向前和向后移动。
- 单击历史节点将重新访问该查询,填充所有数据面板
- 将鼠标悬停在节点上调用一个工具,该工具显示关于查询的各种详细信息,并允许突出显示或删除节点。
- 被动DNS (pDNS)查询被描述为蓝色的“文档”图标。其他查询用绿色圆圈表示。
调查指出
您可以向“搜索历史”中的任何节点添加注释。您可以使用注释来提醒自己搜索的有趣方面,或者如果调查结果是共享的,则可以与组中的其他用户共享有关搜索的信息。当节点存在音符时,节点上的数字表示它有多少音符。
- 每个音符的字符限制是300个。但是,您可以在每个搜索节点中添加多个注释。如果调查是共享的,小组的任何成员都可以提供注释。
- 如果您在记事本中输入IP地址、域名、电子邮件地址或名称服务器,“虹膜”会启用“操作菜单”,您可以直接从记事本中搜索或过滤。
搜索历史追踪逻辑
- 通常,每个新查询在前一个节点的右侧添加一个节点。
- 当您重新访问先前的查询,然后进行新的查询时,路径会分支,分支上的最新节点位于初始节点的下方。
- 绿色表示活动路径。当您重新访问一个较早的查询时,重新访问的节点右侧的节点会变成黄色,这表明它们可能是废弃的路径。如果您重新访问一个黄色节点并执行一个新的查询,它将再次变为活动的(绿色)。
- 在紧凑视图中,绿线中的断点表示一个分支。您可以展开Search History以查看分支。
- 当您单击“删除”时,您可以选择只删除该节点,或者删除该节点和所有子节点。
“高亮”按钮在搜索历史记录的节点上放置了一个标记,以便于发现和重新访问有趣的结果集。
您可以通过单击+按钮创建一个新的空历史分支。您的下一个查询将是新分支的根节点。您还可以以当前节点作为根启动一个新的分支。为此,单击Manage历史>新建历史分支>用当前搜索启动它
注意:删除节点或分支后,节点或分支不可恢复。
主引擎
支点引擎是虹膜许多调查的核心。这是一个交互式显示,可以实现许多不同的调查功能,包括排序,过滤,检查(通过Whois和其他工具),也许最重要的是,旋转不同的数据点。
表列(字段)
默认情况下,该表包含所有字段:
- 域
- 标签
- 风险评分(专有域风险评分) *
- 电子邮件(注册人邮件)
- 电子邮件域
- 联系信息(注册人、管理、技术、计费、SOA等)
- 注册人
- 注册人组织
- 注册商
- 注册状态
- 状态(活动或不活动)
- 创建日期
- 截止日期
- 名称服务器
- IP(地址,ISP, ASN,国家)
- 广告联盟
- Alexa排名
- 谷歌分析
- 网站响应
- 重定向
- 重定向的域
- MX(邮件交换器)信息
- SPF (Sender Policy Framework)规则
- SSL证书哈希
- SSL证书的组织
- SSL证书的国家
- TLD(支持在大型结果集中按TLD进行排序/筛选)
*注意:风险评分是一个可选的附加到虹膜。如果没有此附加项,此列将被标记为“邻近性”,并仅反映该域与已知恶意域的连接级别。
通过单击Pivot Engine左上角的Settings菜单,然后选择,可以控制显示哪些字段/列的观点从菜单中。使用复选框选择您希望看到的列。
您可以从几个预定义视图中进行选择,或者将所选列保存为自定义视图。,还可以对Pivot Engine列重新排序订购按钮从同一菜单。
注意:并非所有域都有所有字段的数据。DomainTools试图收集每一列所代表的信息,但在大多数情况下,至少有一些字段是空的。域的注册和供应方式差别很大。
使用表格工作
新的调查总是从搜索某个术语开始。如果在DomainTools数据库中找到该术语,则相关结果将显示在表中(以及稍后讨论的其他数据面板中)。一旦有了需要处理的结果,就可以从Pivot Engine Table执行几种类型的交互。
您可以通过单击表中的域名填充其他数据面板(如域配置文件和Whois历史),使用特定域的详细信息。如果只有一个域匹配您的查询,默认情况下将显示这些详细信息。
操作菜单
虹膜中的许多数据点都有一个相关的右键操作菜单。
操作菜单提供与所选数据点相关的选项。所有操作菜单包括Filters控件(如下所述),但一些数据点有附加选项,如IP地址相关的工具或域相关的工具。操作菜单还显示DomainTools数据库中与所选数据点匹配的域的数量。
标签域
Iris允许您添加自己的域标记,以便为您正在研究的域添加上下文,并支持通过标记搜索和过滤。您可以从Pivot引擎、域配置文件或检查视图添加标记。在Pivot Engine中,您可以通过Domain列中的复选框选择域来添加多个标记。“添加标签”出现在域名的操作菜单中,以及当您通过复选框选择了域名时,在Pivot引擎顶部的选择栏中。您可以使用类似的控件来删除标签。如果您希望添加或删除一个标签,开始输入标签名称,虹膜将显示任何匹配的标签。标签也可以在统计面板中看到。
你可以通过标签管理器来管理你的标签,它可以从导航栏中获得。在标签管理器中,您可以看到您或您组中的任何人创建的所有标签,还可以看到用户添加的任何标签描述。当您选择一个Tag时,您还可以看到与该Tag相关联的任何域,并且您可以在这些域上启动一个新的搜索或枢轴。
此外,标签在Stats面板中可用,可以从Pivot Engine中选择或取消选择,以导出到.csv。
注意:标签在组级别共享。这促进了团队成员之间的协作。标签不会在组之外共享,因此如果您将虹膜调查散列导出到组之外的用户,他们将不会看到您的标签。标签的组共享独立于共享调查功能。
枢轴点:
表中的大多数单元格允许您以该数据点为“轴心”,以便通过选择推进您的调查“新搜索”在操作菜单上。
示例:假设我们想更多地了解domaintools.com网站背后的组织:
- 从“domaintools.com”开始搜索。这将在表中返回一行,反映domaintools.com的所有已知数据点。在“电子邮件”列中,可以看到与该域关联的电子邮件为(电子邮件保护)
- 右键单击电子邮件地址,然后从操作菜单中选择“新建搜索”。这是电子邮件地址上的一个“枢轴”。
- 该表现在显示了绑定的每个域(电子邮件保护)
- “展开”还通过包括原始域并添加与所选数据点匹配的任何其他域来促进pivot。
引导枢轴点:为了帮助您快速识别潜在的有价值的支点,Iris突出显示任何连接到500或更少域的支点。500的阈值可以配置为更低的值,如果需要,可以完全关闭导轨。你可以在Pivot引擎左上角的Settings菜单中配置Guided Pivots。可以对每个字段或全局配置突出显示的阈值。对于每个导向枢轴,相关领域将显示平均风险作为严重性的快速指标。
主预览:当你从引导枢轴打开操作菜单时,你可以在实际做枢轴之前打开枢轴后面的域的预览。当您单击放大镜图标时,屏幕右侧会打开一个预览窗口。此预览显示了“轴心”后面的域的域名和域风险评分。这个视图还显示了枢轴后面有多少域已经是结果集的一部分。附加的平均风险和年龄的背景,为一组域。
从表内部过滤:
操作菜单包含命令窄搜索,扩展搜索,新搜索和排除。它们提供了与高级搜索中的过滤器相同的功能,但更方便的是允许您从表本身内部进行搜索,而不必将术语复制并粘贴到过滤器控件中。“窄搜索”意味着新的搜索必须匹配原始搜索词和您刚刚单击的项目(它对两个词执行逻辑and)。“展开搜索”意味着新的搜索既可以匹配原始搜索,也可以匹配包含您刚刚单击的项目的任何内容(它对两个词执行逻辑或)。“排除”删除包含您希望排除的数据点的任何域。
表上面的Filters显示了这些过滤器。与横条相连的绿色方框表示逻辑上的“或”查询,与其他方框不相连的方框表示“与”语句。(这对一些用户来说似乎违反直觉,但连接的方框代表一个扩展的过滤器,而断开连接的方框代表一个缩小的过滤器。)
单击过滤器术语旁边的“X”以刷新删除该术语的结果。
列排序:
您可以对表中的大多数列进行排序。单击列标头切换升序/降序排序。
关于“电子邮件”和“电子邮件域”列的排序:一个给定的域可能有几个不同的电子邮件地址与之相关联。这对于在Pivot引擎表中对这些列进行排序具有重要意义。排序逻辑查看字母和数字的最低/最高电子邮件地址,并将包含该地址的域放在第一行(或最后一行,取决于升序和降序排序)。其次是具有第二低/最高电子邮件地址的域,以此类推。因此,表的第一行不一定包含整个表中排名最低/最高的所有电子邮件地址——它将包含它“自己的”电子邮件地址,其中一个将是匹配排序规则的电子邮件地址。
例子:升序排序。域名A有电子邮件”(电子邮件保护)”和“(电子邮件保护)"当域名B有电子邮件时"(电子邮件保护)”和“(电子邮件保护)域A是表的第一行,因为“01abc”打败了“alice”,成为最低的字母数字值。
降序排序,相同的域:B位于顶部,因为“bob”在两个域中并列最高,但来自B的“alice”在字母数字上高于来自A的“01abc”。
这个逻辑同样适用于“电子邮件”和“电子邮件域”。
注意:
- 无法对名称服务器列进行排序。
- Pivot引擎表目前不支持嵌套排序。
分页和结果集大小
Iris支持可以返回大量结果的搜索。当搜索在表中返回500多行时,将对结果进行分页,每个页面最多支持500行。
由于搜索过滤器的灵活性,创建过于宽泛的搜索也相对容易。例如,对较大的隐私服务电子邮件地址或部分电话号码进行搜索,范围就太广了。在这种情况下,Iris会返回一个错误,要求您缩小查询范围。一般来说,在初始结果集中执行搜索(通过创建逻辑AND过滤器或在数据点上旋转)将得到良好的结果。
历史反向Whois查询
DomainTools从21世纪初就开始收集域名数据。除了当前记录,Iris还可以查找与电子邮件地址和注册信息查询相匹配的历史记录。具体来说,支持的三种查询类型是电子邮件地址、注册人和“Whois记录包含”。默认情况下,历史搜索是启用的,但你可以在枢轴引擎设置菜单中禁用或修改它:
历史搜索的全局控制:通过清除顶部的复选框,可以全局禁用或启用历史搜索。您还可以单独控制三种支持的查询类型。
每次搜索覆盖:在单个搜索中,可以对三个支持的字段启用或禁用历史查询。若要重写,请打开高级搜索控件,单击历史图标,然后重新运行查询。请记住,只有上面列出的三种查询类型适合进行历史搜索。
注意:在启用历史搜索的情况下,您有时会在Pivot引擎中看到与您的查询不匹配的域。这样做的原因是,在域历史记录的某个时候,它确实与查询相匹配。要查看域与查询匹配的记录,点击“查看历史匹配”。这将打开Whois History到与您的搜索词匹配的最近记录。
激活和非激活域:当一个域处于非活动状态时,虹膜将在Pivot引擎的域名附近和状态列中显示一个图标。要标记为非活动,域必须没有注册,也不能在DNS中进行委托。因为可能会出现注册域无法解析或未注册域无法解析的异常情况,所以这两个条件(未注册、未委派)都必须为真,才能将域标记为非活动。
高级搜索控件
高级控件允许您堆叠多个筛选器来优化特定搜索的结果,还允许您设置跨搜索持久性数据显示的首选项
过滤器:顶部的过滤器是原始搜索词;然后你可以通过添加更多的过滤器来优化你的搜索。对于每个筛选器,选择字段和该字段的匹配规则。例如,您的字段可能是“Registrant”,匹配规则可能是“匹配”或“不匹配”。
获得洞察力的一个强大方法是组合过滤器,它允许您根据所寻找的确切信息调整搜索。有两种方式可以组合过滤器:
- 扩大你的搜索是新过滤器和上面的过滤器之间的逻辑“或”。例如,您可以使用“扩展您的搜索”来查找注册人为“(电子邮件保护)”或“(电子邮件保护)”
- 缩小你的搜索范围是新过滤器和上面的过滤器之间的逻辑“与”。例如,您可以搜索注册人为“(电子邮件保护)以及在2002年7月4日或之后创建的。
一些字段/列,例如风险评分或日期字段,支持定量匹配规则,如“大于”、“等于”等。
不同字段的匹配规则不同,但一般有以下几种匹配规则:
- 始于
- 匹配
- 精确匹配(区分大小写)
- 不匹配
- 不完全匹配(不区分大小写)
- 包含(如果在查询中找到任何项,则进行匹配)
- 包含所有
- 不包含
- 不包含所有内容
- 结尾
- 大于
- 大于或等于
- 匹配(定量字段为“等于”)
- 等于或小于
- 不到
- 完全
高级控件中的另一个有用的搜索方法允许您查找包含特定字符串或关键字的一组域。例如,通过选择字段“Domain”、规则“Contains”和字符串“domaintools”,您可以看到名称中包含该字符串的所有域。您可以指定关键字是否出现在域名的开始、结束或任何位置。
下载Pivot引擎结果
来自Pivot Engine的数据对于您在其他系统中使用、与信任组共享或用于进一步分析可能很有价值。下载控件位于Pivot Engine表的左上角上方。您可以通过三种格式下载Pivot Engine的内容:
- 作为.csv文件
- 作为STIX 1.2文档
- 作为STIX 2.0文档
请注意: Pivot引擎中的某些字段包含多个值。例如IP地址和名称服务器。为了容纳多个值,您可能会在.csv导出中看到重复的一些列。这将在.csv表的每个单元格中维护一个值。
有关STIX的更多信息,请参阅https://stixproject.github.io/
pDNS (Passive DNS)数据面板
关于基础设施的一些最有价值的信息通常来自被动DNS数据。通过显示当前和过去的域到IP的分辨率,以及观察到给定分辨率时的日期戳,pDNS可以帮助乐动体育网址调查人员构建威胁基础设施的地图,并描述单个或多个域或IP地址。对于一个IP地址,知道它上承载了什么域(以及以前曾经承载过什么域)可以帮助判断IP地址的威胁级别,而对于一个域,知道域或主机名解析为哪些IP可以帮助调查人员更多地了解该域。pDNS数据面板与其他数据面板(如Pivot引擎或可视化)交互工作。
Iris中的pDNS数据包括以下记录类型:
- A: IPv4的域和乐动体育网址子域/主机名的解析(默认情况下,pDNS面板只显示A记录)
- AAAA:域和子域的IPv乐动体育网址6解析
- NS:名称服务器
- SOA:授权机构电子邮件地址和名称服务器的开始
- MX:邮件服务器主机名和IP地址
- CNAME:别名记录将一个主机名映射到另一个主机名
- TXT:可选的全集记录,可以包含任意的描述性信息
有两种主要的方法来查询pDNS数据:直接查询或从Iris的其他地方作为枢轴查询。
- 直接:在主虹膜搜索框中,或在pDNS数据面板中,您可以在搜索框中输入一个术语,并使用结果数据集。
- 作为一个主:您可以从虹膜的任何地方调用一个域或IP地址的操作菜单,并查询该域或IP的解析数据pDNS。数据显示在pDNS数据面板中。
查询和响应
通常,当您对一个域名感兴趣时,最感兴趣的记录是提供该域名的IP地址的a记录。同样,当您对一个IP地址感兴趣时,最感兴趣的记录通常是解析(或曾经解析)到该IP地址的所有域的A记录。这些案例中的每一个都是从不同的“方向”来看A记录。在pDNS面板中,这是由搜索框旁边的查询/响应切换来处理的。
例子:
- 域(或主机名)作为起点:the查询setting给出与域对应的IP地址。相同的域出现在每一行中,因为域是查询,而IP地址是响应。
- IP地址为起点响应设置将给出此IP地址作为响应的所有域—换句话说,在该IP上驻留的所有域。
反转这些记录通常不会产生很多记录——通常一个记录也没有。这是因为在DNS A记录中,域是查询,IP地址是响应。如果您输入一个切换设置为响应的域,或一个切换设置为的IP地址查询,如果没有结果,尝试翻转开关并重新运行搜索。
注意:用技术术语来说,查询是rrname,记录的类型是rtype,响应是rdata。
排序和过滤
您可以对pDNS表中的列进行排序,将最相关的项放在表的顶部。您还可以使用表上面的筛选控件,将数据缩小到您所寻找的特定答案。
发送到枢轴发动机
当您在pDNS中开发一组结果并希望更多地了解结果集中的域时,您可以单击“to Pivot Engine”来查找这组域。有三种选择:
- 作为新查询:这只在pDNS面板中的域上执行Pivot Engine搜索
- 作为现有查询的逻辑OR:这将扩展现有Pivot Engine查询,以包括来自pDNS的不属于现有查询的任何域
- 作为现有查询的逻辑AND:这将缩小现有Pivot Engine查询的范围,以便查询是现有Pivot Engine过滤器和从pDNS发送的域的交集
注意:当命令被标记为“To Pivot Engine”时,结果查询也会在Visualization、Stats等中观察到
SSL配置文件数据面板
SSL证书是描述域和查找到相关基础设施的连接的极好方法。SSL概要文件数据面板允许您详细检查证书,在某些情况下,还可以找到其他地方无法提供的附加支点。
当DomainTools在一个域中发现多个证书时,Iris将证书显示在单独的选项卡中。
来自SSL/TLS证书的其他轴心可以在主题可选名称部分找到。在此部分中,您可以右键单击任何域以打开操作菜单。如果您希望检查本节中的所有域,您可以单击下图中的按钮将所有域发送到Pivot Engine。通过这种方式,您可以找到更多关于域的注册、基础设施和web元数据的信息。
可视化数据面板
识别和解释域、注册者、IP地址和其他数据点之间的关系通常很重要。虽然Pivot引擎表通常包含定义这些关系的数据,但如果仅依赖该表,则很难获得快速的洞察。可视化数据面板以图形的方式描述关系和连接,并允许您从可视化图形上的节点修改查询。
Force Layout和Hive Layout
有两种不同的可视化类型:Force和Hive。Force布局显示实体之间的关系,围绕域或数据点“有重力地”排列。Force布局是查看各个数据点如何连接到域或彼此之间的极好方法。Hive的布局将域排列在顶部,其他数据点(“焦点”)排列在下方和两侧。这对于查看有多少个域共享给定的数据点,或者查看定量数据点的光谱(如创建日期或风险/接近度评分)如何反映在您正在检查的域集中特别有用。
从图的枢轴和过滤
您可以右键单击图中的节点来调用操作菜单(Operations Menu),该菜单允许您进行枢轴、筛选等操作。
操作图
双击一个域或IP地址节点将该项目放入其各自的Profile数据面板中。当您将鼠标悬停在图形上的某个节点上时,该节点及其直接连接的节点将突出显示。您可以放大或缩小图形,还可以在Force布局中拖动一个项目,以便将最有趣的数据放在中间。在Hive布局中,您可以使用链接度滑块根据共享给定数据点的节点数量来筛选集合。
示例:如果三个域共享一个创建日期,四个域共享另一个创建日期,通过将链接度最小值移动到4,可以过滤出共享第一个创建日期的三个域。
单击?可以查看图形控件的完整列表。按钮。
统计/IP工具数据面板
统计数据
当查询产生两个或多个域的结果集时,查看某些关键数据点的汇总统计信息、识别相关对象的集群或发现模式会很有帮助。
“统计数据面板”显示显示的结果集中数据点的出现次数。在某些情况下,例如日期字段和风险评分,结果集中的域按集分组,而不是按单个值分组。
每一种数据类型都以图形的方式表示(IP国家的地图和所有其他国家的饼图),并在一个表中表示。将鼠标悬停在图中的某项上将突出显示表中相应的数据点,反之亦然。图和表还描述了每个值在结果集中出现的相对(图)和绝对(表)数量。
右键单击任何数据点都会调用相应的操作菜单。您可以选择任何操作来继续您的调查。
注意:Stats聚合最多2500条记录(域)的数据。对于超过2500个域的结果集,Stats只覆盖前2500个域。
IP工具和IP配置文件数据面板
IP配置文件类似于域配置文件面板。它为IP地址提供关键数据点,以及原始Whois记录。您可以以IP本身为轴心,以便修改或开始对该地址进行搜索。
中有三个可用的工具IP工具数据面板。
- 萍:它可以从一个源ping IP地址,而不是您自己的位置。这通常会告诉你IP地址是否可达,因为ping来自DomainTools而不是你自己的计算机,目标IP地址在ping它时没有你的位置记录。
- 路由跟踪:与Ping一样,您可以看到从DomainTools(而不是从您自己的计算机)执行traceroute的结果。这可以深入了解IP地址的托管、路由和可达性。
- PTR:DNS指针(PTR)记录通常用作反向DNS查找的一种形式。它显示了IP地址的CNAME,它告诉您该地址的实际所有者(通常是托管提供商),但不一定是该地址上托管的域。
Whois历史数据面板
对谁拥有或控制域的调查可能会因域的Whois记录中的私有或伪造数据而受挫。然而,在许多情况下,较早的Whois记录显示了有用的所有权信息。找到这样的信息后,您可以采取其他步骤来帮助确定历史记录中的所有权信息是否与域的当前所有者相对应。
在默认情况下,Whois历史数据面板显示的是域的当前Whois记录,以及DomainTools有历史Whois记录的早期日期的垂直时间轴。您可以单击垂直时间轴中的日期以查看该数据的Whois记录,或者您可以使用以前的而且下一个按钮,用于浏览历史记录。
视图的变化:有三个不同的视图描述了当前显示的和紧接之前的Whois记录之间的变化。Side by Side和Inline视图突出显示Whois记录中两个记录之间不同的行。原始记录只是显示两个记录并排没有亮点。
独特的电子邮件:注册电子邮件地址从Whois记录也显示。您可以右键单击电子邮件地址以调用基本pivot操作菜单(窄搜索,扩展搜索,新搜索)以获取该电邮地址。
托管历史数据面板
一个领域的过去通常可以提供有关该领域本身以及当前或历史上控制它的实体的有价值的线索。有时,这些记录提供了一个“缺失的环节”,以查找难以捉摸的所有权细节或确认与其他域或IP地址的连接。托管历史数据面板整合了DomainTools数据库中的三类历史信息:
- IP地址历史提供承载域的当前和以前的IP地址。您可以单击这些IP地址中的任何一个来搜索托管在这些IP地址上的域。注意:当你点击IP地址时,你看到的结果将是承载在那里的域目前,而不是历史。
- 名称服务器历史提供为域提供DNS解析的当前和以前的名称服务器。您可以单击任何名称服务器来查看它们所服务的域。注意:当您单击名称服务器时,您看到的结果将是针对域的目前是他们服务的,而不是那些历史上被服务过的人。
- 注册的历史提供记录域注册的当前注册器和以前的注册器。您可以单击任何注册器来查看当前已注册的域。注意:你看到的结果,当点击一个注册商将是域它目前服务,而不是之前的那些。另外,要注意的是,对于许多注册商(如GoDaddy, NameCheap, 1and1等),这个数字将非常大,可能不能作为一个实际的搜索查询。
截屏历史数据面板
通过查看域的主Web页面的当前或历史截屏,您通常可以深入了解域。截屏历史数据面板提供了一个日期索引,DomainTools为域存档了截屏。如果截屏历史为空,你也可以为截屏排队,这通常会在24小时内可用(通常更快)。注意:许多正在调查的域名访问起来并不安全,但是查看它们的主页是什么样子是很有价值的。您可以使用域配置文件数据面板上的截屏来查看当前的截屏,而不必访问该站点。当有多个历史截图可用时,您可以使用<或>按钮。您还可以通过单击“”,在滚动列中查看所有历史截图。看到所有”。
域配置文件数据面板
虽然Pivot Engine Table的列显示了关于正在审查的域的大量信息,但是可以很方便地一眼就看到关于单个域的信息。域配置文件数据面板提供了这样一个视图。通过单击Pivot Engine表中的域名单元格,或者双击Visualization中的域节点,可以调用它。与其他数据面板一样,您可以将其保留在默认位置、重新定位或关闭它。
域配置文件面板显示以下信息:
- 域名
- 电子邮件地址(es)
- 注册人组织
- 注册商
- 注册状态
- 域名服务器
- IP地址
- IP位置
- ASN
- 域名查询服务历史的总结
- IP地址历史汇总
- 注册的历史总结
- 服务器历史记录摘要
- “原始”名目项记录
- 风险/接近得分
- 截图
您可以右键单击许多数据点来调用与上下文相关的操作菜单。对于History摘要,您可以单击摘要以调出相应的数据面板。
IP配置文件数据面板
与域概要文件面板非常类似,IP概要文件数据面板提供关于IP地址的一目了然的信息,以帮助指导您的调查。您可以右键单击IP地址来调用操作菜单以推进您的调查。
固定板
如果能够比较属于较大结果集的域或IP地址,或者属于不同结果集的域或IP地址,可能会很有用。在Pivot引擎、可视化和其他地方,有一个名为“Pin this domain”(或IP)的操作菜单项。导航栏中的“固定面板”控件可切换显示的打开和关闭。打开显示后,您可以在一个新面板中检查和比较固定对象的Profile视图,该面板可以从导航栏访问。这个视图还强调了域/ ip之间的差异,以便于发现它们。
注意:固定面板是全局的,不是每个调查。这允许您比较来自不同调查的域或ip,您认为这些域或ip可能有共同之处。
反向MX(虹膜调查)
您可以直接从Iris顶部的搜索框轻松地通过MX记录进行搜索,还可以通过旋转MX数据来查找相关的基础设施,只需在pivot Engine中滚动到每个域的邮件服务器数据类型。
分享调查
如果您是组织内DomainTools用户组的成员,您可以选择与组中的其他人共享调查结果。你也可能收到其他人与你分享的调查报告。共享集团;也就是说,您不能选择与谁共享调查的组中的单个成员。
默认情况下,调查是私有的。如果你想分享一项调查,你可以点击分享按钮。
您可以通过编辑共享设置随时共享或取消共享调查。你可以给别人三种级别的控制:
- 与我的DomainTools组分享这个调查:您组中的其他人可以将调查视为只读工件;它们不能执行枢轴、删除等操作。但是,他们仍然可以探索各种数据面板,以查看数据的不同方面。
- 允许其他人编辑此调查:组中的任何其他成员都可以做轴心、新搜索、过滤器等。但是,它们不能删除搜索历史记录中的任何节点。
- 允许其他人删除搜索:组中的所有成员在调查中具有平等的权限,包括删除“搜索历史”中的节点。只有最初的所有者可以删除调查本身或编辑其名称和描述,但在其他方面,所有小组成员都具有同等的特权。
看到其他成员采取的行动
当一项调查被分享给您时,如果您的浏览器设置允许,您将收到一个浏览器通知。调查也会出现在调查列表中。
当其他用户执行搜索或轴心时,这些节点会出现在搜索历史中,并带有一个共享图标,还会触发浏览器通知。其他人添加的节点最初将是黄色的,并将有一个微妙的蓝色动画“光环”,直到您通过单击其中一个节点来确认更改。如果单击另一个用户创建的节点,该节点将变成绿色(如果没有结果,则变为白色),因为它是您的当前节点。
如果取消共享某个调查,已打开该调查的所有其他组成员将收到一个通知,表明该调查已被取消共享,并且在他们取消通知时将被重定向到Iris主页。调查也从他们的调查名单中消失了。
请注意:共享不影响任何其他用户的数据面板组织。如果Alice与她的小组分享了一项调查,并注意到可视化中一些有趣的东西,那么她的小组中的其他人将不会自动被引导到可视化。如果她希望向Bob指出她的发现,Bob将需要确保Iris实例上的Visualization是打开的。
调查报告
您可能希望将您的调查结果与组织内外的其他人分享。您可以创建一个可打印的报告,导出为PDF文档,其中包含您的调查中的以下信息:
- 检查视图:从检查视图,您将有能力打印或导出到PDF从每个以下选项卡;域配置文件,截图历史,Whois历史,主机历史和SSL配置文件。
- 标题和摘要:这些资料取自你向调查提供的姓名和描述(如果有的话)。
- 调查路径:搜索历史记录的表格表示,指出每组结果的操作。如果将注释添加到搜索历史记录的任何节点,则注释将包含在报表中。
- 统计数据:统计数据面板的内容按节列出。
- 可视化:绘制可视化图形。(注:对于大型搜索结果,在打印页面上阅读可视化图表可能不实用。在这种情况下,您可以直接从可视化数据面板下载.svg文件,以获得可缩放的图形高分辨率图像)。
- 主引擎: Pivot引擎的数据以表格形式给出。Report的这一部分中的列与您在Pivot Engine视图中看到的列相对应。
关于如何生成报表,有几件事需要了解:
- 该报告是基于当前的搜索。如果您已经重新查看了调查的早期步骤,但希望报告最后的步骤,请确保在生成报告之前在Search History中单击该步骤。
- 统计,可视化和枢轴引擎数据面板必须是活跃的以便将其内容列入报告。属性和Pivot引擎不需要聚焦,但也不能完全关闭。
- 可视化面板必须对焦(即显示在你的屏幕上),以便包含在报告中。报告将显示可视化的外观。这意味着您应该将图形居中,并根据您希望在打印页面上看到它的方式调整缩放级别。
- 对于搜索结果超过500个域,报告将反映您当前正在查看的Pivot Engine上的结果页面。例如,如果您将Pivot Engine移动到第2页,那么报告将打印该Pivot Engine页面上显示的域和域的可视化。
请参阅虹膜用户指南-第2部分