1. はじめに

tkitahar · ‎2021-04-01

※ 2021 年 4 月 1 日現在の情報をもとに作成しています

Umbrella Investigate は、Umbrella がこれまで採取してきたドメインに関する情報などを詳細に表示できるアプリケーションであり、Smart Search とPattern Search の 2 種類の検索方法が用意されています。

本記事では、Pattern Search の使い方について説明します。

Cisco Umbrella Investigate - Conduct a Pattern Search

※ Umbrella Investigate を使用するには、Umbrella Investigate を含むサブスクリプションの契約が必要となります

2. 2 種類の検索方法

Smart Search は従来からある検索方法で、ドメイン名、IP アドレス、URL、AS 番号などをキーに、Umbrella が保持している詳細情報を検索できます。一つの検索窓から複数の種類の情報を検索できるため、「Smart (スマート)」と呼ばれています。

一方で、Pattern Search は、正規表現を使って、指定した条件に当てはまる一つ以上のドメイン名 (まれに URL) を検索するというものです。例えば、フィッシング詐欺を目的としてあるドメインを模倣した「類似ドメイン名」を探す場合などに便利です。

なお、Pattern Search で検索した後に表示されるドメイン名をクリックすると、Smart Search の結果と同じようにドメイン名の詳細情報を確認することができます。

Pattern Search の使用方法は、Umbrella Dashboard のメニューから Pattern Search を開き、検索窓に文字列を入力して「INVESTIGATE (調査する)」ボタンを押すだけと非常にシンプルですが、入力する文字列が「正規表現」であることに注意が必要です。

例えば、Pattern Search の検索窓に「*cisco.com」と入力し、「cisco.com」という文字列で終わるドメインの一覧を検索結果として表示させようとしても、検索結果は 0 件です。

これはワイルドカードの指定方法を間違っていることと、指定した文字列の中に含まれる「.」が正規表現では特殊な記号と見なされることが原因です。

まずワイルドカードですが、正規表現では「.*」と指定します。また、「.」を単純な文字として認識させるためには、エスケープ文字である「\」を前に付ける必要があります。

では、「.*cisco\.com」で再度検索してみます。

このように、「cisco.com」という文字列で終わるドメインの一覧を取得することができました。表示される検索結果は最大で 500 件です。

なお、この検索条件だと、「cisco.com」そのものもヒットするのではないかと思われるかもしれませんが、実際には検索結果の中に含まれていません。

これは、検索窓の右側にある「Constrain RegEx search to」という検索条件が関係しています。この検索条件には「Last 24 Hours」「Last 7 days」「Last 30 days」のいずれかを選ぶことができます。

これらはそれぞれ「Umbrella が最初に受け取った DNS クエリーが直近 24 時間以内」「直近 7 日以内」「直近 30 日以内」という意味になります。「cisco.com」は古くから使われているドメインですので、どの検索条件を選んだとしても条件には合致しません。

Pattern Search で使われる正規表現の指定方法は Umbrella 独自のものではなく、一般的な正規表現と同じものとなります。もし、正規表現の使い方が分からない場合は、検索窓にある？をクリックすると情報が表示されます。