Búsqueda de indicadores de amenaza
Busque en la base de datos de información sobre amenazas para obtener más información sobre indicadores de amenazas específicos, como una dirección IP o un nombre de dominio. Conozca el historial del indicador y su puntuación de confianza.
Los resultados de búsqueda están limitados a los 1.000 resultados más recientes para cualquier combinación de parámetros de búsqueda. Acote los criterios de búsqueda si la búsqueda devuelve más de 1.000 resultados.
Para obtener más información sobre la información encontrada en la base de datos de información sobre amenazas, consulte Conceptos.
Puede buscar en la base de datos de Threat Intelligence incluso si Cloud Guard no ha detectado ninguna amenaza en el arrendamiento.
- Consejo
Para restablecer los criterios de búsqueda, seleccione Restablecer. Utilice los siguientes comandos para buscar indicadores de amenaza:
- oci amenaza-inteligencia indicador-summaries list-indicators: obtener una lista de resúmenes de indicadores de amenaza que coincidan con los parámetros de búsqueda
- oci amenaza-inteligencia indicador get: obtener detalles sobre un indicador específico
- oci amenaza-inteligencia amenaza-types-collection list-threat-types: obtenga una lista de tipos de amenazas que puede utilizar como parámetros al enumerar indicadores
Nota
Todos los recursos de Threat Intelligence tienen un ámbito para todo el arrendamiento. Especifique el ID del arrendamiento (compartimento raíz) para todos los comandos de la CLI.Para obtener una lista completa de indicadores y opciones de variables para los comandos de la CLI, consulte la Referencia de comandos de la CLI.
Enumerar todos los indicadores con una dirección IP específicaoci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --type IP_ADDRESS --value <indicator_IP_address>
Los tipos de indicadores soportados son
IP_ADDRESS
,URL
,DOMAIN_NAME
,FILE_NAME
,MD5_HASH
,SHA1_HASH
,SHA256_HASH
,THREAT_ACTOR
yMALWARE
.Enumerar todos los indicadores con un tipo de amenaza específico y una puntuación de confianza mínimaoci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --threat-type-name phishing --confidence-above 50
Consulte Threat Indicator Database Threat Types o utilice el comando
threat-types-collection list-threat-types
.Utilice las siguientes operaciones para buscar indicadores de amenaza:
- ListIndicators: obtiene una lista de todos los indicadores que coinciden con los parámetros de búsqueda
- GetIndicator: obtener detalles sobre un indicador específico
- ListThreatTypes: obtiene una lista de los tipos de amenazas que puede utilizar como parámetros al enumerar indicadores
Nota
Todos los recursos de Threat Intelligence tienen un ámbito para todo el arrendamiento. Especifique el ID del arrendamiento (compartimento raíz) para todas las operaciones de API.Enumerar todos los indicadores con una dirección IP específicaGET /20220901/indicators?compartmentId=<root_compartment_OCID>&indicatorType=IP_ADDRESS&value=<indicator_IP_address> Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com <authorization and other headers>
Respuesta:
{ "items": [ { "confidence": 24, "id": "<indicator_OCID>", "labels": [ "botnet" ], "timeCreated": "2021-08-10T11:04:53.680Z", "timeLastUpdated": "2021-09-01T13:22:41.000Z", "type": "IP_ADDRESS", "value": "<indicator_IP_address>" } ] }
Los tipos de indicadores soportados son
IP_ADDRESS
,URL
,DOMAIN_NAME
,FILE_NAME
,MD5_HASH
,SHA1_HASH
,SHA256_HASH
,THREAT_ACTOR
yMALWARE
.Enumerar todos los indicadores con un tipo de amenaza específico y una puntuación de confianza mínimaGET /20220901/indicators?compartmentId=<root_compartment_OCID>&label=bruteforce&confidenceGreaterThanOrEqualTo=50 Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com <authorization and other headers>
Respuesta:
{ "items": [ { "confidence": 65, "id": "<indicator_OCID>", "labels": [ "bruteforce" ], "timeCreated": "2021-08-10T11:04:53.680Z", "timeLastUpdated": "2021-09-01T13:22:41.000Z", "type": "IP_ADDRESS", "value": "<indicator_IP_address>" }, { "confidence": 85, "id": "<indicator_OCID>", "labels": [ "bruteforce" ], "timeCreated": "2021-08-10T11:04:53.680Z", "timeLastUpdated": "2021-09-01T13:22:41.000Z", "type": "IP_ADDRESS", "value": "<indicator_IP_address>" } ] }
Consulte Threat Indicator Database Threat Types.
Enumerar todos los indicadores de IP con un tipo de amenaza específico y una puntuación de confianza mínimaPOST 20220901/indicators/actions/summarize?compartmentId=<root_compartment_OCID> Host: api-threatintel.us-ashburn-1.oci.oraclecloud.com <authorization and other headers> { "indicatorType": "IP_ADDRESS", "confidenceGreaterThanOrEqualTo": 50, "threatTypes": ["Criminal"] }
Respuesta:
{ "data": { "items": [ { "attributes": [ { "name": "MaliciousConfidence", "value": "low" }, { "name": "CSD", "value": "csa-220906" }, { "name": "ThreatActor", "value": "solarspider" }, { "name": "Malware", "value": "jsoutprox" } ], "compartmentId": "<indicator_compartment_id>", "confidence": 55, "geodata": { "adminDiv": "on", "city": "kennebrook", "countryCode": "ca", "geoId": "", "label": "abchost corp.", "latitude": "51.06", "longitude": "-114.09", "origin": "62563", "routedPrefix": "" }, "id": "<indicator_OCID>", "lifecycleState": "ACTIVE", "threatTypes": [ "Criminal", "RAT" ], "timeCreated": "2022-08-30T19:15:09.237Z", "timeLastSeen": "2022-08-30T19:07:13.000Z", "timeUpdated": "2022-09-06T07:11:23.503Z", "type": "IP_ADDRESS", "value": "<indicator_IP_address>" } ] }, "headers": { "Content-Length": "1091", "Content-Type": "application/json", "Date": "Fri, 09 Sep 2022 14:46:07 GMT", "X-Content-Type-Options": "nosniff", "opc-next-page": "MTY2MjA3ODU5NTAwMHx8b2NpZDEudGhyZWF0ZW50aXR5Lm9jMS4uYWFhYWFhYWF1MnFjeDU2bGdxamxscnVxNHdtZG1xdXp0ZmpqeGsyd3V3dmliNWd3cWZtc3V5dHJzYmxh", "opc-previous-page": "", "opc-request-id": "EFBD59D5E9AC4072A06750EB5AEBEA7A/EAF6F605F3CABF83C6BB7ABD9F3398A4/FD04F21730E00B8074A422238071544B" }, "status": "200 OK" }
Consulte Threat Indicator Database Threat Types.
Obtener detalles sobre un indicador específicoGET /20220901/indicators/<indicator_OCID>?compartmentId=<root_compartment_OCID> Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com <authorization and other headers>
Respuesta:
{ "confidence": 80, "id": "<indicator_OCID>", "labels": [ { "attribution": [ { "score": 80, "source": { "name": "Oracle" }, "timeFirstSeen": "2021-07-15T16:56:42.212Z", "timeLastSeen": "2021-07-22T11:26:05.000Z" } ], "label": { "id": "bruteforce", "label": "bruteforce" } } ], "malwareFamilies": [], "targets": [], "threatTypes": [], "timeCreated": "2021-04-30T19:56:40.514Z", "timeLastUpdated": "2021-07-22T11:49:27.000Z", "type": "IP_ADDRESS", "value": "<indicator_IP_address>" }