Tehdit kategorisi Domain

Domain Tehditleri

Alan adı (domain), DNS sistemi üzerinden insan-okur biçimde tanımlanmış bir ağ kaynağıdır (örn. example.com). Domain bazlı IoC kayıtları; subdomain'ler dahil tüm alt kayıtları kapsayacak biçimde engellenebilir. DNS RPZ (Response Policy Zone) veya secure DNS resolver, domain bazlı engelleme için en uygun kontrol noktasıdır.

Toplam Domain
451.490
Kritik (1–3)
17.638
Yüksek (4–5)
331.094
Filtre sonucu
40.683

Neden önemli?

Alan adı kayıtları, DNS RPZ ve secure DNS resolver katmanında subdomain dahil tüm alt kayıtları kapsayacak biçimde engellenebilir. Sıfır gün phishing kampanyalarının ilk savunma hattıdır.

Domain Tehditlerini Nasıl Tespit Edersiniz?

Domain tipindeki tehdit göstergelerinin kurumsal altyapınızda tespit edilmesi için gözlem ve telemetri katmanları aşağıdaki gibi konumlandırılmalıdır.

DNS resolver log'ları (özellikle iç recursive resolver'lar) ve passive DNS arşivleri, domain bazlı IoC'lar için en yüksek değerli kaynaktır. Bir domain'e yapılan ilk sorgunun zamanı, hangi cihazdan geldiği ve yanıtın TTL değeri, saldırı zaman çizelgesinin yeniden inşası için kritik veridir.

WHOIS yaş kontrolü ve domain registration metadata'sı, yeni kayıtlı domain'leri (NRD — newly registered domains) phishing veya malware kampanyası için tipik atak yüzeyi olarak işaretler. 30 günden genç bir domain ile yapılan iletişim, otomatik olarak yüksek riskli olarak sınıflandırılmalıdır.

Certificate Transparency (CT) log izleme, bir domain'in subdomain'leri için verilmiş yeni TLS sertifikalarını dakikalar içinde tespit eder. Saldırganlar genellikle hedef markaya benzer subdomain'leri (örn. login.banka-tr.com) sertifikalandığı an phishing kampanyasını başlatır.

Subdomain enumeration ve DNS brute-force araçları (amass, subfinder), bilinen kötü amaçlı bir domain'in tüm subdomain havuzunu çıkararak aynı saldırı altyapısının diğer noktalarını tespit eder. Bu, kampanya genelinde toplu engelleme için temel veri kaynağıdır.

Domain Tehditlerine Karşı Savunma Katmanları

Etkili koruma için tek bir kontrol noktası yeterli değildir; aşağıdaki katmanlı savunma yaklaşımı, Domain tipindeki göstergeler için defense-in-depth modelini somutlaştırır.

  • DNS Layer DNS RPZ (Response Policy Zone) veya secure DNS resolver (örn. PowerDNS RPZ, BIND RPZ, Quad9 enterprise) ile domain ve tüm subdomain'lerin çözümlenmesi engellenmelidir.
  • Perimeter / Web SWG ve HTTPS proxy katmanında domain bazlı kategori engellemesi; SNI inspection ile TLS oturumlarında bile bu domain'e bağlantı kapatılmalıdır.
  • Email E-posta gateway'inde domain ve subdomain'lerden gelen mailler için inbound bloklama; bu domain'leri içeren outbound iletişim de DLP politikası ile denetlenmelidir.
  • Endpoint EDR'de domain bazlı yasak liste; uç noktanın bu domain'e doğrudan IP üzerinden bağlanma girişimi (DNS bypass) tespit edilmelidir.
  • Identity / SaaS Domain kimlik phishing'i hedefliyorsa, M365/Workspace seviyesinde kullanıcıların bu domain'e gönderdiği kimlik bilgisi içeren oturumlar takip edilmeli; risk bayrağı kaldırılmadan oturum yenilenmemelidir.
  • Threat Intel WHOIS ve CT log izleme ile bu domain'in operatörünün diğer domain'lerine ait olası altyapı kümeleri çıkarılmalı; kampanya genelinde proaktif engelleme sağlanır.

Kritiklik dağılımı

Toplam 451.490 Domain göstergesinin operasyonel risk bandlarına dağılımı.

Kategori bazlı popüler etiketler

Bu tipteki en sık raporlanan kategoriler — tıklayarak filtreleyin.

Bankacılık - Oltalama 252.307 Oltalama 92.873 Zararlı Yazılım Barındıran / Yayan Alan Adı 64.508 Zararlı Yazılım - Komuta Kontrol Merkezi 40.683 Zararlı Yazılım Barındıran / Yayan URL 795 Siber Saldırı (Port Tarama, Kaba Kuvvet vb.) 166 Zararlı Yazılım Barındıran / Yayan IP 158

Filtre Matrisi

40.683 Domain göstergesi bulundu
● Yerel arşiv (indexli)