Documentation sur Oracle Cloud Infrastructure

Recherche d'indicateurs de menace

Recherchez la base de données Threat Intelligence pour en savoir plus sur des indicateurs de menace spécifiques, tels qu'une adresse IP ou un nom de domaine. Découvrez l'historique de l'indicateur et son score de confiance.

Les résultats de recherche sont limités aux 1 000 résultats les plus récents pour toute combinaison de paramètres de recherche. Précisez les critères de recherche si la recherche retourne plus de 1 000 résultats.

Pour en savoir plus sur les informations trouvées dans la base de données du service de renseignement sur les menaces, voir Concepts.

Vous pouvez effectuer une recherche dans la base de données de renseignements sur les menaces même si le service de protection d'infrastructure en nuage n'a détecté aucune menace dans la location.

    1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Intelligence de menace, sélectionnez Base de données de l'indicateur de menace.
    2. Dans la liste Rechercher, sélectionnez le type d'indicateur de menace à rechercher, puis entrez la valeur spécifique.
      • Nom du domaine : Entrez le nom du domaine source de l'indicateur de menace.
      • Nom de fichier : Entrez le nom de fichier du programme malveillant.
      • Adresse IP : Entrez l'adresse IP source de l'indicateur de menace.
      • Malware : Entrez le nom du programme malveillant associé à l'indicateur de menace.
      • Hachage MD5 : Entrez le hachage MD5 généré à partir de l'en-tête de demande de l'indicateur de menace.
      • Hachage SHA1 : Entrez le hachage SHA1 généré à partir de l'en-tête de demande de l'indicateur de menace.
      • Hachage SHA256 : Entrez le hachage SHA256 généré à partir de l'en-tête de demande de l'indicateur de menace.
      • Acteur de menace : Entrez le nom de l'entité associée à l'indicateur de menace.
      • Type de menace : Sélectionnez le type de menace. Voir Types de menace de base de données pour les indicateurs de menace.
      • URL : Entrez l'URL source de l'indicateur de menace.
    3. (Facultatif) Sélectionnez une valeur pour Date du dernier signalement.

      Par défaut, les résultats incluent les menaces détectées uniquement au cours des 30 derniers jours.

    4. (Facultatif) Pour Note de confiance, sélectionnez la note minimale de l'indicateur de menace à rechercher.

      La note de confiance est une valeur comprise entre 0 et 100, ce qui représente à quel point le renseignement sur les menaces est confiant que l'indicateur peut être associé à une activité malveillante.

      Par défaut, les résultats incluent uniquement les indicateurs de menace dont le score est supérieur à 50.

    5. Sélectionnez Rechercher.
    6. (Facultatif) Pour limiter les résultats à un type d'indicateur spécifique, sélectionnez une valeur dans Type.
    7. Pour voir plus de détails sur un indicateur de menace, sélectionnez l'indicateur dans la table des résultats de recherche.

      La zone Historique de l'indicateur de la page des détails de l'indicateur affiche les dates auxquelles cet indicateur de menace a été détecté et qui l'a détecté (Oracle ou une autre source de renseignements sur les menaces).

    Conseil

    Pour réinitialiser les critères de recherche, sélectionnez Réinitialiser.

  • Utilisez les commandes suivantes pour rechercher des indicateurs de menace :

    Note

    Toutes les ressources de renseignement sur les menaces portent sur l'ensemble de la location. Spécifiez l'ID de la location (compartiment racine) pour toutes les commandes d'interface de ligne de commande.

    Pour la liste complète des indicateurs et des options de variable pour les commandes de l'interface de ligne de commande, voir Informations de référence sur les commandes de l'API.

    Lister tous les indicateurs avec une adresse IP spécifique
    oci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --type IP_ADDRESS --value <indicator_IP_address>

    Les types d'indicateur pris en charge sont IP_ADDRESS, URL, DOMAIN_NAME, FILE_NAME, MD5_HASH, SHA1_HASH, SHA256_HASH, THREAT_ACTOR et MALWARE.

    Répertorier tous les indicateurs avec un type de menace spécifique et une note de confiance minimale
    oci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --threat-type-name phishing --confidence-above 50

    Voir Types de menace de base de données pour l'indicateur de menace ou utiliser la commande threat-types-collection list-threat-types.

  • Utilisez les opérations suivantes pour rechercher des indicateurs de menace :

    • ListIndicators - Obtenir la liste de tous les indicateurs correspondant aux paramètres de recherche
    • GetIndicator - Obtenir des détails sur un indicateur spécifique
    • ListThreatTypes - Obtenir une liste des types de menace que vous pouvez utiliser comme paramètres pour lister les indicateurs
    Note

    Toutes les ressources de renseignement sur les menaces portent sur l'ensemble de la location. Spécifiez l'ID de la location (compartiment racine) pour toutes les opérations d'API.
    Lister tous les indicateurs avec une adresse IP spécifique
    GET /20220901/indicators?compartmentId=<root_compartment_OCID>&indicatorType=IP_ADDRESS&value=<indicator_IP_address>
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Réponse :

    {
   "items": [
      {
        "confidence": 24,
        "id": "<indicator_OCID>",
        "labels": [
          "botnet"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
   ]
}

    Les types d'indicateur pris en charge sont IP_ADDRESS, URL, DOMAIN_NAME, FILE_NAME, MD5_HASH, SHA1_HASH, SHA256_HASH, THREAT_ACTOR et MALWARE.

    Répertorier tous les indicateurs avec un type de menace spécifique et une note de confiance minimale
    GET /20220901/indicators?compartmentId=<root_compartment_OCID>&label=bruteforce&confidenceGreaterThanOrEqualTo=50
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Réponse :

    {
   "items": [
      {
        "confidence": 65,
        "id": "<indicator_OCID>",
        "labels": [
          "bruteforce"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      },
      {
        "confidence": 85,
        "id": "<indicator_OCID>",
        "labels": [
          "bruteforce"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
   ]
}

    Voir Types de menace de base de données pour les indicateurs de menace.

    Répertorier tous les indicateurs IP avec un type de menace spécifique et une note de confiance minimale
    POST 20220901/indicators/actions/summarize?compartmentId=<root_compartment_OCID>
Host: api-threatintel.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>
{
    "indicatorType": "IP_ADDRESS",
    "confidenceGreaterThanOrEqualTo": 50,
    "threatTypes": ["Criminal"]
}

    Réponse :

    {
  "data": {
    "items": [
      {
        "attributes": [
          {
            "name": "MaliciousConfidence",
            "value": "low"
          },
          {
            "name": "CSD",
            "value": "csa-220906"
          },
          {
            "name": "ThreatActor",
            "value": "solarspider"
          },
          {
            "name": "Malware",
            "value": "jsoutprox"
          }
        ],
        "compartmentId": "<indicator_compartment_id>",
        "confidence": 55,
        "geodata": {
          "adminDiv": "on",
          "city": "kennebrook",
          "countryCode": "ca",
          "geoId": "",
          "label": "abchost corp.",
          "latitude": "51.06",
          "longitude": "-114.09",
          "origin": "62563",
          "routedPrefix": ""
        },
        "id": "<indicator_OCID>",
        "lifecycleState": "ACTIVE",
        "threatTypes": [
          "Criminal",
          "RAT"
        ],
        "timeCreated": "2022-08-30T19:15:09.237Z",
        "timeLastSeen": "2022-08-30T19:07:13.000Z",
        "timeUpdated": "2022-09-06T07:11:23.503Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
    ]
  },
  "headers": {
    "Content-Length": "1091",
    "Content-Type": "application/json",
    "Date": "Fri, 09 Sep 2022 14:46:07 GMT",
    "X-Content-Type-Options": "nosniff",
    "opc-next-page": "MTY2MjA3ODU5NTAwMHx8b2NpZDEudGhyZWF0ZW50aXR5Lm9jMS4uYWFhYWFhYWF1MnFjeDU2bGdxamxscnVxNHdtZG1xdXp0ZmpqeGsyd3V3dmliNWd3cWZtc3V5dHJzYmxh",
    "opc-previous-page": "",
    "opc-request-id": "EFBD59D5E9AC4072A06750EB5AEBEA7A/EAF6F605F3CABF83C6BB7ABD9F3398A4/FD04F21730E00B8074A422238071544B"
  },
  "status": "200 OK"
}

    Voir Types de menace de base de données pour les indicateurs de menace.

    Obtenir des détails sur un indicateur spécifique
    GET /20220901/indicators/<indicator_OCID>?compartmentId=<root_compartment_OCID>
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Réponse :

    {
   "confidence": 80,
   "id": "<indicator_OCID>",
   "labels": [
      {
         "attribution": [
            {
               "score": 80,
               "source": {
                  "name": "Oracle"
               },
               "timeFirstSeen": "2021-07-15T16:56:42.212Z",
               "timeLastSeen": "2021-07-22T11:26:05.000Z"
            }
         ],
         "label": {
            "id": "bruteforce",
            "label": "bruteforce"
         }
      }
   ],
   "malwareFamilies": [],
   "targets": [],
   "threatTypes": [],
   "timeCreated": "2021-04-30T19:56:40.514Z",
   "timeLastUpdated": "2021-07-22T11:49:27.000Z",
   "type": "IP_ADDRESS",
   "value": "<indicator_IP_address>"
}