Oracle Cloud Infrastructure-Dokumentation

Bedrohungsindikatoren suchen

Durchsuchen Sie die Threat Intelligence-Datenbank, um mehr über spezifische Bedrohungsindikatoren wie eine IP-Adresse oder einen Domainnamen zu erfahren. Erfahren Sie mehr über die Historie des Indikators und seinen Konfidenzscore.

Die Suchergebnisse sind auf die letzten 1.000 Ergebnisse für jede Kombination von Suchparametern begrenzt. Verfeinern Sie die Suchkriterien, wenn die Suche mehr als 1.000 Ergebnisse zurückgibt.

Weitere Informationen zu den Informationen in der Threat Intelligence-Datenbank finden Sie unter Konzepte.

Sie können die Threat Intelligence-Datenbank durchsuchen, auch wenn Cloud Guard keine Bedrohungen im Mandanten erkannt hat.

    1. Öffnen Sie das Navigationsmenü, und wählen Sie Identität und Sicherheit aus. Wählen Sie unter Bedrohungsintelligenz die Option Bedrohungsindikatorendatenbank aus.
    2. Wählen Sie in der Liste Suchen nach den Typ des Bedrohungsindikators aus, nach dem Sie suchen möchten, und geben Sie dann den spezifischen Wert ein.
      • Domainname: Geben Sie den Namen der Quelldomain des Bedrohungsindikators ein.
      • Dateiname: Geben Sie den Dateinamen des böswilligen Programms ein.
      • IP-Adresse: Geben Sie die Quell-IP-Adresse des Bedrohungsindikators ein.
      • Malware: Geben Sie den Namen des Malwareprogramms ein, das mit dem Bedrohungsindikator verknüpft ist.
      • MD5-Hash: Geben Sie den MD5-Hash ein, der aus dem Anforderungsheader des Bedrohungsindikators generiert wurde.
      • SHA1-Hash: Geben Sie den SHA1-Hash ein, der aus dem Anforderungsheader des Bedrohungsindikators generiert wurde.
      • SHA256-Hash: Geben Sie den SHA256-Hash ein, der aus dem Anforderungsheader des Bedrohungsindikators generiert wurde.
      • Threat-Schauspieler: Geben Sie den Namen der Entity ein, die dem Bedrohungsindikator zugeordnet ist.
      • Threattyp: Wählen Sie den Bedrohungstyp aus. Siehe Threat Indicator Database Threat Types.
      • URL: Geben Sie die Quell-URL des Bedrohungsindikators ein.
    3. (Optional) Wählen Sie einen Wert für Letztes Meldungsdatum aus.

      Standardmäßig enthalten die Ergebnisse Bedrohungen, die nur in den letzten 30 Tagen erkannt wurden.

    4. (Optional) Wählen Sie unter Konfidenzscore den Mindestscore des zu suchenden Bedrohungsindikators aus.

      Der Konfidenzscore ist ein Wert von 0 bis 100, der angibt, wie sicher Threat Intelligence ist, dass der Indikator mit böswilligen Aktivitäten in Verbindung gebracht werden kann.

      Standardmäßig enthalten die Ergebnisse nur Bedrohungsindikatoren mit einem Score größer als 50.

    5. Wählen Sie Suchen aus.
    6. (Optional) Um die Ergebnisse auf einen bestimmten Indikatortyp zu begrenzen, wählen Sie unter Typ einen Wert aus.
    7. Um weitere Details zu einem Bedrohungsindikator anzuzeigen, wählen Sie den Indikator in der Tabelle der Suchergebnisse aus.

      Im Bereich Indikatorhistorie der Seite "Indikatordetails" werden die Datumsangaben angezeigt, an denen dieser Bedrohungsindikator ermittelt wurde und wer ihn erkannt hat (Oracle oder eine andere Threat Intelligence-Quelle).

    Tipp

    Um die Suchkriterien zurückzusetzen, wählen Sie Zurücksetzen aus.

  • Verwenden Sie die folgenden Befehle, um nach Bedrohungsindikatoren zu suchen:

    Hinweis

    Alle Threat Intelligence-Ressourcen gelten für den gesamten Mandanten. Geben Sie die ID des Mandanten (Root Compartment) für alle CLI-Befehle an.

    Eine vollständige Liste der Flaggen und Variablenoptionen für CLI-Befehle finden Sie in der CLI-Befehlsreferenz.

    Alle Indikatoren mit einer bestimmten IP-Adresse auflisten
    oci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --type IP_ADDRESS --value <indicator_IP_address>

    Die unterstützten Indikatortypen sind IP_ADDRESS, URL, DOMAIN_NAME, FILE_NAME, MD5_HASH, SHA1_HASH, SHA256_HASH, THREAT_ACTOR und MALWARE.

    Alle Indikatoren mit einem bestimmten Bedrohungstyp und einem minimalen Konfidenzscore auflisten
    oci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --threat-type-name phishing --confidence-above 50

    Lesen Sie dazu Threat Indicator Database Threat Types, oder verwenden Sie den Befehl threat-types-collection list-threat-types.

  • Mit den folgenden Vorgängen können Sie nach Bedrohungsindikatoren suchen:

    • ListIndicators - Ruft eine Liste aller Indikatoren ab, die mit den Suchparametern übereinstimmen
    • GetIndicator - Details zu einem bestimmten Indikator abrufen
    • ListThreatTypes - Ruft eine Liste der Bedrohungstypen ab, die Sie als Parameter beim Auflisten von Indikatoren verwenden können
    Hinweis

    Alle Threat Intelligence-Ressourcen gelten für den gesamten Mandanten. Geben Sie die ID des Mandanten (Root Compartment) für alle API-Vorgänge an.
    Alle Indikatoren mit einer bestimmten IP-Adresse auflisten
    GET /20220901/indicators?compartmentId=<root_compartment_OCID>&indicatorType=IP_ADDRESS&value=<indicator_IP_address>
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Antwort:

    {
   "items": [
      {
        "confidence": 24,
        "id": "<indicator_OCID>",
        "labels": [
          "botnet"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
   ]
}

    Die unterstützten Indikatortypen sind IP_ADDRESS, URL, DOMAIN_NAME, FILE_NAME, MD5_HASH, SHA1_HASH, SHA256_HASH, THREAT_ACTOR und MALWARE.

    Alle Indikatoren mit einem bestimmten Bedrohungstyp und einem minimalen Konfidenzscore auflisten
    GET /20220901/indicators?compartmentId=<root_compartment_OCID>&label=bruteforce&confidenceGreaterThanOrEqualTo=50
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Antwort:

    {
   "items": [
      {
        "confidence": 65,
        "id": "<indicator_OCID>",
        "labels": [
          "bruteforce"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      },
      {
        "confidence": 85,
        "id": "<indicator_OCID>",
        "labels": [
          "bruteforce"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
   ]
}

    Weitere Informationen finden Sie unter Threat Indicator Database Threat Types.

    Alle IP-Indikatoren mit einem bestimmten Bedrohungstyp und einem minimalen Konfidenzscore auflisten
    POST 20220901/indicators/actions/summarize?compartmentId=<root_compartment_OCID>
Host: api-threatintel.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>
{
    "indicatorType": "IP_ADDRESS",
    "confidenceGreaterThanOrEqualTo": 50,
    "threatTypes": ["Criminal"]
}

    Antwort:

    {
  "data": {
    "items": [
      {
        "attributes": [
          {
            "name": "MaliciousConfidence",
            "value": "low"
          },
          {
            "name": "CSD",
            "value": "csa-220906"
          },
          {
            "name": "ThreatActor",
            "value": "solarspider"
          },
          {
            "name": "Malware",
            "value": "jsoutprox"
          }
        ],
        "compartmentId": "<indicator_compartment_id>",
        "confidence": 55,
        "geodata": {
          "adminDiv": "on",
          "city": "kennebrook",
          "countryCode": "ca",
          "geoId": "",
          "label": "abchost corp.",
          "latitude": "51.06",
          "longitude": "-114.09",
          "origin": "62563",
          "routedPrefix": ""
        },
        "id": "<indicator_OCID>",
        "lifecycleState": "ACTIVE",
        "threatTypes": [
          "Criminal",
          "RAT"
        ],
        "timeCreated": "2022-08-30T19:15:09.237Z",
        "timeLastSeen": "2022-08-30T19:07:13.000Z",
        "timeUpdated": "2022-09-06T07:11:23.503Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
    ]
  },
  "headers": {
    "Content-Length": "1091",
    "Content-Type": "application/json",
    "Date": "Fri, 09 Sep 2022 14:46:07 GMT",
    "X-Content-Type-Options": "nosniff",
    "opc-next-page": "MTY2MjA3ODU5NTAwMHx8b2NpZDEudGhyZWF0ZW50aXR5Lm9jMS4uYWFhYWFhYWF1MnFjeDU2bGdxamxscnVxNHdtZG1xdXp0ZmpqeGsyd3V3dmliNWd3cWZtc3V5dHJzYmxh",
    "opc-previous-page": "",
    "opc-request-id": "EFBD59D5E9AC4072A06750EB5AEBEA7A/EAF6F605F3CABF83C6BB7ABD9F3398A4/FD04F21730E00B8074A422238071544B"
  },
  "status": "200 OK"
}

    Weitere Informationen finden Sie unter Threat Indicator Database Threat Types.

    Details zu einem bestimmten Indikator abrufen
    GET /20220901/indicators/<indicator_OCID>?compartmentId=<root_compartment_OCID>
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Antwort:

    {
   "confidence": 80,
   "id": "<indicator_OCID>",
   "labels": [
      {
         "attribution": [
            {
               "score": 80,
               "source": {
                  "name": "Oracle"
               },
               "timeFirstSeen": "2021-07-15T16:56:42.212Z",
               "timeLastSeen": "2021-07-22T11:26:05.000Z"
            }
         ],
         "label": {
            "id": "bruteforce",
            "label": "bruteforce"
         }
      }
   ],
   "malwareFamilies": [],
   "targets": [],
   "threatTypes": [],
   "timeCreated": "2021-04-30T19:56:40.514Z",
   "timeLastUpdated": "2021-07-22T11:49:27.000Z",
   "type": "IP_ADDRESS",
   "value": "<indicator_IP_address>"
}