Documentazione di Oracle Cloud Infrastructure

Ricerca di indicatori di minacce

Cercare nel database di Threat Intelligence per ulteriori informazioni su specifici indicatori di minaccia, ad esempio un indirizzo IP o un nome di dominio. Informazioni sulla cronologia dell'indicatore e sul relativo punteggio di affidabilità.

I risultati della ricerca sono limitati ai 1.000 risultati più recenti per qualsiasi combinazione di parametri di ricerca. Perfezionare i criteri di ricerca se la ricerca restituisce più di 1.000 risultati.

Per informazioni sulle informazioni presenti nel database di Threat Intelligence, vedere Concetti.

È possibile eseguire ricerche nel database di Threat Intelligence anche se Cloud Guard non ha rilevato minacce nella tenancy.

    1. Aprire il menu di navigazione e selezionare Identità e sicurezza. In Threat Intelligence, selezionare Database indicatore di minaccia.
    2. Nell'elenco Cerca selezionare il tipo di indicatore di minaccia da cercare, quindi immettere il valore specifico.
      • Nome dominio: immettere il nome del dominio di origine dell'indicatore di minaccia.
      • Nome file: immettere il nome del file del programma dannoso.
      • indirizzo IP: immettere l'indirizzo IP di origine dell'indicatore di minaccia.
      • Malware: immettere il nome del programma malware associato all'indicatore di minaccia.
      • MD5 hash: immettere l'hash MD5 generato dall'intestazione della richiesta dell'indicatore di minaccia.
      • SHA1 hash: immettere l'hash SHA1 generato dall'intestazione della richiesta dell'indicatore di minaccia.
      • SHA256 hash: immettere l'hash SHA256 generato dall'intestazione della richiesta dell'indicatore di minaccia.
      • Attore minaccia: immettere il nome dell'entità associata all'indicatore di minaccia.
      • Tipo di minaccia: selezionare il tipo di minaccia. Vedere Tipi di minacce al database degli indicatori di minacce.
      • URL: immettere l'URL di origine dell'indicatore di minaccia.
    3. (Facoltativo) Selezionare un valore per Data ultimo report.

      Per impostazione predefinita, i risultati includono le minacce rilevate solo negli ultimi 30 giorni.

    4. (Facoltativo) Per Punteggio di affidabilità, selezionare il punteggio minimo dell'indicatore di minaccia da cercare.

      Il punteggio di affidabilità è un valore compreso tra 0 e 100 che rappresenta la sicurezza dell'intelligence sulle minacce che indica che l'indicatore potrebbe essere associato ad attività dannose.

      Per impostazione predefinita, i risultati includono solo indicatori di minaccia con un punteggio maggiore di 50.

    5. Selezionare Cerca.
    6. (Facoltativo) Per limitare i risultati a un tipo di indicatore specifico, selezionare un valore in Tipo.
    7. Per visualizzare ulteriori dettagli su un indicatore di minaccia, selezionare l'indicatore nella tabella dei risultati della ricerca.

      L'area Cronologia indicatore della pagina dei dettagli dell'indicatore mostra le date in cui questo indicatore di minaccia è stato rilevato e chi lo ha rilevato (Oracle o un'altra origine di intelligence sulle minacce).

    Suggerimento

    Per reimpostare i criteri di ricerca, selezionare Reimposta.

  • Utilizzare i comandi riportati di seguito per cercare gli indicatori di minaccia.

    Nota

    Tutte le risorse di Threat Intelligence vengono applicate all'intera tenancy. Specificare l'ID della tenancy (compartimento radice) per tutti i comandi CLI.

    Per un elenco completo dei flag e delle opzioni variabili per i comandi CLI, consultare il manuale CLI Command Reference.

    Elenca tutti gli indicatori con un indirizzo IP specifico
    oci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --type IP_ADDRESS --value <indicator_IP_address>

    I tipi di indicatori supportati sono IP_ADDRESS, URL, DOMAIN_NAME, FILE_NAME, MD5_HASH, SHA1_HASH, SHA256_HASH, THREAT_ACTOR e MALWARE.

    Elenca tutti gli indicatori con un tipo di minaccia specifico e un punteggio minimo di affidabilità
    oci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --threat-type-name phishing --confidence-above 50

    Vedere Tipi di minacce al database con indicatore di minaccia o utilizzare il comando threat-types-collection list-threat-types.

  • Utilizzare le seguenti operazioni per cercare gli indicatori di minaccia:

    • ListIndicators: consente di ottenere un elenco di tutti gli indicatori che corrispondono ai parametri di ricerca.
    • GetIndicator: consente di ottenere dettagli su un indicatore specifico.
    • ListThreatTypes: consente di ottenere un elenco dei tipi di minaccia che è possibile utilizzare come parametri quando si elencano gli indicatori.
    Nota

    Tutte le risorse di Threat Intelligence vengono applicate all'intera tenancy. Specificare l'ID della tenancy (compartimento radice) per tutte le operazioni API.
    Elenca tutti gli indicatori con un indirizzo IP specifico
    GET /20220901/indicators?compartmentId=<root_compartment_OCID>&indicatorType=IP_ADDRESS&value=<indicator_IP_address>
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Risposta:

    {
   "items": [
      {
        "confidence": 24,
        "id": "<indicator_OCID>",
        "labels": [
          "botnet"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
   ]
}

    I tipi di indicatori supportati sono IP_ADDRESS, URL, DOMAIN_NAME, FILE_NAME, MD5_HASH, SHA1_HASH, SHA256_HASH, THREAT_ACTOR e MALWARE.

    Elenca tutti gli indicatori con un tipo di minaccia specifico e un punteggio minimo di affidabilità
    GET /20220901/indicators?compartmentId=<root_compartment_OCID>&label=bruteforce&confidenceGreaterThanOrEqualTo=50
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Risposta:

    {
   "items": [
      {
        "confidence": 65,
        "id": "<indicator_OCID>",
        "labels": [
          "bruteforce"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      },
      {
        "confidence": 85,
        "id": "<indicator_OCID>",
        "labels": [
          "bruteforce"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
   ]
}

    Vedere Tipi di minacce al database degli indicatori di minacce.

    Elenca tutti gli indicatori IP con un tipo di minaccia specifico e un punteggio minimo di affidabilità
    POST 20220901/indicators/actions/summarize?compartmentId=<root_compartment_OCID>
Host: api-threatintel.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>
{
    "indicatorType": "IP_ADDRESS",
    "confidenceGreaterThanOrEqualTo": 50,
    "threatTypes": ["Criminal"]
}

    Risposta:

    {
  "data": {
    "items": [
      {
        "attributes": [
          {
            "name": "MaliciousConfidence",
            "value": "low"
          },
          {
            "name": "CSD",
            "value": "csa-220906"
          },
          {
            "name": "ThreatActor",
            "value": "solarspider"
          },
          {
            "name": "Malware",
            "value": "jsoutprox"
          }
        ],
        "compartmentId": "<indicator_compartment_id>",
        "confidence": 55,
        "geodata": {
          "adminDiv": "on",
          "city": "kennebrook",
          "countryCode": "ca",
          "geoId": "",
          "label": "abchost corp.",
          "latitude": "51.06",
          "longitude": "-114.09",
          "origin": "62563",
          "routedPrefix": ""
        },
        "id": "<indicator_OCID>",
        "lifecycleState": "ACTIVE",
        "threatTypes": [
          "Criminal",
          "RAT"
        ],
        "timeCreated": "2022-08-30T19:15:09.237Z",
        "timeLastSeen": "2022-08-30T19:07:13.000Z",
        "timeUpdated": "2022-09-06T07:11:23.503Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
    ]
  },
  "headers": {
    "Content-Length": "1091",
    "Content-Type": "application/json",
    "Date": "Fri, 09 Sep 2022 14:46:07 GMT",
    "X-Content-Type-Options": "nosniff",
    "opc-next-page": "MTY2MjA3ODU5NTAwMHx8b2NpZDEudGhyZWF0ZW50aXR5Lm9jMS4uYWFhYWFhYWF1MnFjeDU2bGdxamxscnVxNHdtZG1xdXp0ZmpqeGsyd3V3dmliNWd3cWZtc3V5dHJzYmxh",
    "opc-previous-page": "",
    "opc-request-id": "EFBD59D5E9AC4072A06750EB5AEBEA7A/EAF6F605F3CABF83C6BB7ABD9F3398A4/FD04F21730E00B8074A422238071544B"
  },
  "status": "200 OK"
}

    Vedere Tipi di minacce al database degli indicatori di minacce.

    Ottieni dettagli su un indicatore specifico
    GET /20220901/indicators/<indicator_OCID>?compartmentId=<root_compartment_OCID>
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

    Risposta:

    {
   "confidence": 80,
   "id": "<indicator_OCID>",
   "labels": [
      {
         "attribution": [
            {
               "score": 80,
               "source": {
                  "name": "Oracle"
               },
               "timeFirstSeen": "2021-07-15T16:56:42.212Z",
               "timeLastSeen": "2021-07-22T11:26:05.000Z"
            }
         ],
         "label": {
            "id": "bruteforce",
            "label": "bruteforce"
         }
      }
   ],
   "malwareFamilies": [],
   "targets": [],
   "threatTypes": [],
   "timeCreated": "2021-04-30T19:56:40.514Z",
   "timeLastUpdated": "2021-07-22T11:49:27.000Z",
   "type": "IP_ADDRESS",
   "value": "<indicator_IP_address>"
}