Documentación de Oracle Cloud Infrastructure

Búsqueda de indicadores de amenaza

Busque en la base de datos de información sobre amenazas para obtener más información sobre indicadores de amenazas específicos, como una dirección IP o un nombre de dominio. Conozca el historial del indicador y su puntuación de confianza.

Los resultados de búsqueda están limitados a los 1.000 resultados más recientes para cualquier combinación de parámetros de búsqueda. Acote los criterios de búsqueda si la búsqueda devuelve más de 1.000 resultados.

Para obtener más información sobre la información encontrada en la base de datos de información sobre amenazas, consulte Conceptos.

Puede buscar en la base de datos de Threat Intelligence incluso si Cloud Guard no ha detectado ninguna amenaza en el arrendamiento.

    1. Abra el menú de navegación y seleccione Identidad y seguridad. En Inteligencia de amenazas, seleccione Base de datos de indicadores de amenazas.
    2. En la lista Buscar, seleccione el tipo de indicador de amenaza que desea buscar y, a continuación, introduzca el valor específico.
      • Nombre de dominio: introduzca el nombre de dominio de origen del indicador de amenaza.
      • Nombre de archivo: introduzca el nombre de archivo del programa malicioso.
      • Dirección IP: introduzca la dirección IP de origen del indicador de amenaza.
      • Malware: introduzca el nombre del programa de malware asociado con el indicador de amenaza.
      • Hash MD5: introduzca el hash MD5 generado a partir de la cabecera de solicitud del indicador de amenaza.
      • Hash SHA1: introduzca el hash SHA1 generado a partir de la cabecera de solicitud del indicador de amenaza.
      • Hash SHA256: introduzca el hash SHA256 generado a partir de la cabecera de solicitud del indicador de amenaza.
      • Actor de amenaza: introduzca el nombre de la entidad asociada al indicador de amenaza.
      • Tipo de amenaza: seleccione el tipo de amenaza. Consulte Threat Indicator Database Threat Types.
      • URL: introduzca la URL de origen del indicador de amenaza.
    3. (Opcional) Seleccione un valor para Fecha de último informe.

      Por defecto, los resultados incluyen amenazas detectadas solo en los últimos 30 días.

    4. (Opcional) En Puntuación de confianza, seleccione la puntuación mínima del indicador de amenaza que desea buscar.

      La puntuación de confianza es un valor de 0 a 100 que representa la confianza en la información sobre amenazas de que el indicador podría estar asociado con actividades maliciosas.

      Por defecto, los resultados solo incluyen indicadores de amenaza con una puntuación superior a 50.

    5. Seleccione Buscar.
    6. (Opcional) Para limitar los resultados a un tipo de indicador específico, seleccione un valor en Tipo.
    7. Para ver más detalles sobre un indicador de amenaza, seleccione el indicador en la tabla de resultados de búsqueda.

      El área Historial de indicador de la página de detalles del indicador muestra las fechas en las que se detectó este indicador de amenaza y quién lo detectó (Oracle u otro origen de información sobre amenazas).

    Consejo

    Para restablecer los criterios de búsqueda, seleccione Restablecer.

  • Utilice los siguientes comandos para buscar indicadores de amenaza:

    Nota

    Todos los recursos de Threat Intelligence tienen un ámbito para todo el arrendamiento. Especifique el ID del arrendamiento (compartimento raíz) para todos los comandos de la CLI.

    Para obtener una lista completa de indicadores y opciones de variables para los comandos de la CLI, consulte la Referencia de comandos de la CLI.

    Enumerar todos los indicadores con una dirección IP específica
    oci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --type IP_ADDRESS --value <indicator_IP_address>

    Los tipos de indicadores soportados son IP_ADDRESS, URL, DOMAIN_NAME, FILE_NAME, MD5_HASH, SHA1_HASH, SHA256_HASH, THREAT_ACTOR y MALWARE.

    Enumerar todos los indicadores con un tipo de amenaza específico y una puntuación de confianza mínima
    oci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --threat-type-name phishing --confidence-above 50

    Consulte Threat Indicator Database Threat Types o utilice el comando threat-types-collection list-threat-types.

  • Utilice las siguientes operaciones para buscar indicadores de amenaza:

    • ListIndicators: obtiene una lista de todos los indicadores que coinciden con los parámetros de búsqueda
    • GetIndicator: obtener detalles sobre un indicador específico
    • ListThreatTypes: obtiene una lista de los tipos de amenazas que puede utilizar como parámetros al enumerar indicadores
    Nota

    Todos los recursos de Threat Intelligence tienen un ámbito para todo el arrendamiento. Especifique el ID del arrendamiento (compartimento raíz) para todas las operaciones de API.
    Enumerar todos los indicadores con una dirección IP específica
    GET /20220901/indicators?compartmentId=<root_compartment_OCID>&indicatorType=IP_ADDRESS&value=<indicator_IP_address>
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Respuesta:

    {
   "items": [
      {
        "confidence": 24,
        "id": "<indicator_OCID>",
        "labels": [
          "botnet"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
   ]
}

    Los tipos de indicadores soportados son IP_ADDRESS, URL, DOMAIN_NAME, FILE_NAME, MD5_HASH, SHA1_HASH, SHA256_HASH, THREAT_ACTOR y MALWARE.

    Enumerar todos los indicadores con un tipo de amenaza específico y una puntuación de confianza mínima
    GET /20220901/indicators?compartmentId=<root_compartment_OCID>&label=bruteforce&confidenceGreaterThanOrEqualTo=50
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Respuesta:

    {
   "items": [
      {
        "confidence": 65,
        "id": "<indicator_OCID>",
        "labels": [
          "bruteforce"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      },
      {
        "confidence": 85,
        "id": "<indicator_OCID>",
        "labels": [
          "bruteforce"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
   ]
}

    Consulte Threat Indicator Database Threat Types.

    Enumerar todos los indicadores de IP con un tipo de amenaza específico y una puntuación de confianza mínima
    POST 20220901/indicators/actions/summarize?compartmentId=<root_compartment_OCID>
Host: api-threatintel.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>
{
    "indicatorType": "IP_ADDRESS",
    "confidenceGreaterThanOrEqualTo": 50,
    "threatTypes": ["Criminal"]
}

    Respuesta:

    {
  "data": {
    "items": [
      {
        "attributes": [
          {
            "name": "MaliciousConfidence",
            "value": "low"
          },
          {
            "name": "CSD",
            "value": "csa-220906"
          },
          {
            "name": "ThreatActor",
            "value": "solarspider"
          },
          {
            "name": "Malware",
            "value": "jsoutprox"
          }
        ],
        "compartmentId": "<indicator_compartment_id>",
        "confidence": 55,
        "geodata": {
          "adminDiv": "on",
          "city": "kennebrook",
          "countryCode": "ca",
          "geoId": "",
          "label": "abchost corp.",
          "latitude": "51.06",
          "longitude": "-114.09",
          "origin": "62563",
          "routedPrefix": ""
        },
        "id": "<indicator_OCID>",
        "lifecycleState": "ACTIVE",
        "threatTypes": [
          "Criminal",
          "RAT"
        ],
        "timeCreated": "2022-08-30T19:15:09.237Z",
        "timeLastSeen": "2022-08-30T19:07:13.000Z",
        "timeUpdated": "2022-09-06T07:11:23.503Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
    ]
  },
  "headers": {
    "Content-Length": "1091",
    "Content-Type": "application/json",
    "Date": "Fri, 09 Sep 2022 14:46:07 GMT",
    "X-Content-Type-Options": "nosniff",
    "opc-next-page": "MTY2MjA3ODU5NTAwMHx8b2NpZDEudGhyZWF0ZW50aXR5Lm9jMS4uYWFhYWFhYWF1MnFjeDU2bGdxamxscnVxNHdtZG1xdXp0ZmpqeGsyd3V3dmliNWd3cWZtc3V5dHJzYmxh",
    "opc-previous-page": "",
    "opc-request-id": "EFBD59D5E9AC4072A06750EB5AEBEA7A/EAF6F605F3CABF83C6BB7ABD9F3398A4/FD04F21730E00B8074A422238071544B"
  },
  "status": "200 OK"
}

    Consulte Threat Indicator Database Threat Types.

    Obtener detalles sobre un indicador específico
    GET /20220901/indicators/<indicator_OCID>?compartmentId=<root_compartment_OCID>
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Respuesta:

    {
   "confidence": 80,
   "id": "<indicator_OCID>",
   "labels": [
      {
         "attribution": [
            {
               "score": 80,
               "source": {
                  "name": "Oracle"
               },
               "timeFirstSeen": "2021-07-15T16:56:42.212Z",
               "timeLastSeen": "2021-07-22T11:26:05.000Z"
            }
         ],
         "label": {
            "id": "bruteforce",
            "label": "bruteforce"
         }
      }
   ],
   "malwareFamilies": [],
   "targets": [],
   "threatTypes": [],
   "timeCreated": "2021-04-30T19:56:40.514Z",
   "timeLastUpdated": "2021-07-22T11:49:27.000Z",
   "type": "IP_ADDRESS",
   "value": "<indicator_IP_address>"
}