Documentation Oracle Cloud Infrastructure

Rechercher des indicateurs de menace

Recherchez dans la base de données Threat Intelligence pour en savoir plus sur des indicateurs de menace spécifiques, tels qu'une adresse IP ou un nom de domaine. Découvrez l'historique de l'indicateur et son score de confiance.

Les résultats de la recherche sont limités aux 1 000 résultats les plus récents pour toute combinaison de paramètres de recherche. Affinez les critères de recherche si la recherche renvoie plus de 1 000 résultats.

Pour en savoir plus sur les informations figurant dans la base de données Threat Intelligence, reportez-vous à Concepts.

Vous pouvez rechercher dans la base de données Threat Intelligence même si Cloud Guard n'a détecté aucune menace dans la location.

    1. Ouvrez le menu de navigation et sélectionnez Identité et sécurité. Sous Renseignements sur les menaces, sélectionnez Base de données des indicateurs de menace.
    2. Dans la liste Rechercher, sélectionnez le type d'indicateur de menace à rechercher, puis saisissez la valeur spécifique.
      • Nom de domaine : entrez le nom de domaine source de l'indicateur de menace.
      • Nom du fichier : entrez le nom du fichier du programme malveillant.
      • Adresse IP : entrez l'adresse IP source de l'indicateur de menace.
      • Malware : saisissez le nom du programme malveillant associé à l'indicateur de menace.
      • MD5 hash : entrez le hachage MD5 généré à partir de l'en-tête de demande de l'indicateur de menace.
      • SHA1 hash : entrez le hachage SHA1 généré à partir de l'en-tête de demande de l'indicateur de menace.
      • SHA256 hash : entrez le hachage SHA256 généré à partir de l'en-tête de demande de l'indicateur de menace.
      • Acteur de menace : entrez le nom de l'entité associée à l'indicateur de menace.
      • Type de menace : sélectionnez le type de menace. Reportez-vous à la section Threat Indicator Database Threat Types.
      • URL : entrez l'URL source de l'indicateur de menace.
    3. (Facultatif) Sélectionnez une valeur pour Date du dernier rapport.

      Par défaut, les résultats incluent les menaces détectées uniquement au cours des 30 derniers jours.

    4. (Facultatif) Pour Score de confiance, sélectionnez le score minimal de l'indicateur de menace à rechercher.

      Le score de confiance est une valeur comprise entre 0 et 100 qui représente l'assurance que l'indicateur pourrait être associé à une activité malveillante.

      Par défaut, les résultats incluent uniquement les indicateurs de menace dont le score est supérieur à 50.

    5. Sélectionner une recherche.
    6. (Facultatif) Pour limiter les résultats à un type d'indicateur spécifique, sélectionnez une valeur dans Type.
    7. Pour afficher plus de détails sur un indicateur de menace, sélectionnez l'indicateur dans le tableau des résultats de la recherche.

      La zone Historique de l'indicateur de la page de détails de l'indicateur indique les dates auxquelles cet indicateur de menace a été détecté et qui l'a détecté (Oracle ou une autre source d'informations sur les menaces).

    Conseil

    Pour réinitialiser les critères de recherche, sélectionnez Réinitialiser.

  • Utilisez les commandes suivantes pour rechercher des indicateurs de menace :

    Remarque

    Toutes les ressources Threat Intelligence ont une portée sur l'ensemble de la location. Indiquez l'ID de la location (compartiment racine) pour toutes les commandes de l'interface de ligne de commande.

    Afin d'obtenir la liste complète des indicateurs et des options de variable pour les commandes d'interface de ligne de commande, reportez-vous à Référence de commande d'interface de ligne de commande.

    Répertorier tous les indicateurs avec une adresse IP spécifique
    oci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --type IP_ADDRESS --value <indicator_IP_address>

    Les types d'indicateur pris en charge sont IP_ADDRESS, URL, DOMAIN_NAME, FILE_NAME, MD5_HASH, SHA1_HASH, SHA256_HASH, THREAT_ACTOR et MALWARE.

    Répertorier tous les indicateurs avec un type de menace spécifique et un score de confiance minimum
    oci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --threat-type-name phishing --confidence-above 50

    Reportez-vous à la section Threat Indicator Database Threat Types ou utilisez la commande threat-types-collection list-threat-types.

  • Utilisez les opérations suivantes pour rechercher des indicateurs de menace :

    • ListIndicators - Obtient la liste de tous les indicateurs correspondant aux paramètres de recherche
    • GetIndicator - Obtient des détails sur un indicateur spécifique
    • ListThreatTypes - Obtient la liste des types de menace que vous pouvez utiliser comme paramètres pour répertorier les indicateurs
    Remarque

    Toutes les ressources Threat Intelligence ont une portée sur l'ensemble de la location. Indiquez l'ID de la location (compartiment racine) pour toutes les opérations d'API.
    Répertorier tous les indicateurs avec une adresse IP spécifique
    GET /20220901/indicators?compartmentId=<root_compartment_OCID>&indicatorType=IP_ADDRESS&value=<indicator_IP_address>
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Réponse :

    {
   "items": [
      {
        "confidence": 24,
        "id": "<indicator_OCID>",
        "labels": [
          "botnet"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
   ]
}

    Les types d'indicateur pris en charge sont IP_ADDRESS, URL, DOMAIN_NAME, FILE_NAME, MD5_HASH, SHA1_HASH, SHA256_HASH, THREAT_ACTOR et MALWARE.

    Répertorier tous les indicateurs avec un type de menace spécifique et un score de confiance minimum
    GET /20220901/indicators?compartmentId=<root_compartment_OCID>&label=bruteforce&confidenceGreaterThanOrEqualTo=50
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Réponse :

    {
   "items": [
      {
        "confidence": 65,
        "id": "<indicator_OCID>",
        "labels": [
          "bruteforce"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      },
      {
        "confidence": 85,
        "id": "<indicator_OCID>",
        "labels": [
          "bruteforce"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
   ]
}

    Reportez-vous à la section Threat Indicator Database Threat Types.

    Répertorier tous les indicateurs IP avec un type de menace spécifique et un score de confiance minimum
    POST 20220901/indicators/actions/summarize?compartmentId=<root_compartment_OCID>
Host: api-threatintel.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>
{
    "indicatorType": "IP_ADDRESS",
    "confidenceGreaterThanOrEqualTo": 50,
    "threatTypes": ["Criminal"]
}

    Réponse :

    {
  "data": {
    "items": [
      {
        "attributes": [
          {
            "name": "MaliciousConfidence",
            "value": "low"
          },
          {
            "name": "CSD",
            "value": "csa-220906"
          },
          {
            "name": "ThreatActor",
            "value": "solarspider"
          },
          {
            "name": "Malware",
            "value": "jsoutprox"
          }
        ],
        "compartmentId": "<indicator_compartment_id>",
        "confidence": 55,
        "geodata": {
          "adminDiv": "on",
          "city": "kennebrook",
          "countryCode": "ca",
          "geoId": "",
          "label": "abchost corp.",
          "latitude": "51.06",
          "longitude": "-114.09",
          "origin": "62563",
          "routedPrefix": ""
        },
        "id": "<indicator_OCID>",
        "lifecycleState": "ACTIVE",
        "threatTypes": [
          "Criminal",
          "RAT"
        ],
        "timeCreated": "2022-08-30T19:15:09.237Z",
        "timeLastSeen": "2022-08-30T19:07:13.000Z",
        "timeUpdated": "2022-09-06T07:11:23.503Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
    ]
  },
  "headers": {
    "Content-Length": "1091",
    "Content-Type": "application/json",
    "Date": "Fri, 09 Sep 2022 14:46:07 GMT",
    "X-Content-Type-Options": "nosniff",
    "opc-next-page": "MTY2MjA3ODU5NTAwMHx8b2NpZDEudGhyZWF0ZW50aXR5Lm9jMS4uYWFhYWFhYWF1MnFjeDU2bGdxamxscnVxNHdtZG1xdXp0ZmpqeGsyd3V3dmliNWd3cWZtc3V5dHJzYmxh",
    "opc-previous-page": "",
    "opc-request-id": "EFBD59D5E9AC4072A06750EB5AEBEA7A/EAF6F605F3CABF83C6BB7ABD9F3398A4/FD04F21730E00B8074A422238071544B"
  },
  "status": "200 OK"
}

    Reportez-vous à la section Threat Indicator Database Threat Types.

    Obtenir des détails sur un indicateur spécifique
    GET /20220901/indicators/<indicator_OCID>?compartmentId=<root_compartment_OCID>
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Réponse :

    {
   "confidence": 80,
   "id": "<indicator_OCID>",
   "labels": [
      {
         "attribution": [
            {
               "score": 80,
               "source": {
                  "name": "Oracle"
               },
               "timeFirstSeen": "2021-07-15T16:56:42.212Z",
               "timeLastSeen": "2021-07-22T11:26:05.000Z"
            }
         ],
         "label": {
            "id": "bruteforce",
            "label": "bruteforce"
         }
      }
   ],
   "malwareFamilies": [],
   "targets": [],
   "threatTypes": [],
   "timeCreated": "2021-04-30T19:56:40.514Z",
   "timeLastUpdated": "2021-07-22T11:49:27.000Z",
   "type": "IP_ADDRESS",
   "value": "<indicator_IP_address>"
}