Pesquisando Indicadores de Ameaças

Pesquise o banco de dados Threat Intelligence para saber mais sobre indicadores de ameaças específicos, como um endereço IP ou nome de domínio. Saiba mais sobre o histórico do indicador e sua pontuação de confiança.

Os resultados da pesquisa são limitados aos 1.000 resultados mais recentes para qualquer combinação de parâmetros de pesquisa. Refine os critérios de pesquisa se a pesquisa retornar mais de 1.000 resultados.

Para saber mais sobre as informações encontradas no banco de dados do Threat Intelligence, consulte Conceitos.

Você pode pesquisar o banco de dados do Threat Intelligence mesmo que o Cloud Guard não tenha detectado nenhuma ameaça na tenancy.

1. Abra o menu de navegação e selecione Identidade e Segurança. Em Inteligência de Ameaças, selecione Banco de Dados Indicador de Ameaças.
2. Na lista Procurar, selecione o tipo de indicador de ameaça que você deseja procurar e informe o valor específico.
  
  Nome do domínio: Informe o nome do domínio de origem do indicador de ameaça.
  
  Nome do arquivo: Informe o nome do arquivo do programa malicioso.
  
  Endereço IP: Informe o endereço IP de origem do indicador de ameaça.
  
  Malware: Digite o nome do programa de malware associado ao indicador de ameaça.
  
  Hash MD5: Informe o hash MD5 gerado no cabeçalho da solicitação do indicador de ameaça.
  
  Hash SHA1: Informe o hash SHA1 gerado no cabeçalho da solicitação do indicador de ameaça.
  
  Hash SHA256: Informe o hash SHA256 gerado no cabeçalho da solicitação do indicador de ameaça.
  
  Ator de ameaça: Informe o nome da entidade associada ao indicador de ameaça.
  
  Tipo de ameaça: Selecione o tipo de ameaça. Consulte Tipos de Ameaças do Banco de Dados Indicador de Ameaças.
  
  URL: Informe o URL de origem do indicador de ameaça.
3. (Opcional) Selecione um valor para Data da última comunicação.
  
  Por padrão, os resultados incluem ameaças detectadas somente nos últimos 30 dias.
4. (Opcional) Para Pontuação de confiança, selecione a pontuação mínima do indicador de ameaça a ser pesquisado.
  
  A pontuação de confiança é um valor de 0 a 100 que representa quão confiante é a Inteligência de Ameaças de que o indicador possa estar associado a atividades maliciosas.
  
  Por padrão, os resultados incluem apenas indicadores de ameaça com uma pontuação maior que 50.
5. Selecione Pesquisar.
6. (Opcional) Para limitar os resultados a um tipo de indicador específico, selecione um valor em Tipo.
7. Para exibir mais detalhes sobre um indicador de ameaça, selecione o indicador na tabela de resultados da pesquisa.
  
  A área Histórico do indicador da página de detalhes do indicador mostra as datas em que esse indicador de ameaça foi detectado e quem o detectou (Oracle ou outra origem de inteligência de ameaça).
Dica

Para redefinir os critérios de pesquisa, selecione Redefinir.
Use os seguintes comandos para procurar indicadores de ameaça:
- indicadores de lista de indicadores de indicadores de inteligência de ameaças sociais - Obtenha uma lista de resumos de indicadores de ameaça que correspondam aos parâmetros de pesquisa
- obtenção do indicador de inteligência de ameaças sociais - Obtenha detalhes sobre um indicador específico
- oci risk-types-collection list-threat-types de inteligência de ameaças - Obtenha uma lista de tipos de ameaças que você pode usar como parâmetros ao listar indicadores
Observação

Todos os recursos do Threat Intelligence têm escopo em toda a tenancy. Especifique o ID da tenancy (compartimento raiz) para todos os comandos da CLI.

Para obter uma lista completa de flags e opções de variáveis para comandos da CLI, consulte a Referência do Comando da CLI.
Listar todos os indicadores com um endereço IP específico

oci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --type IP_ADDRESS --value <indicator_IP_address>

Os tipos de indicador suportados são IP_ADDRESS, URL, DOMAIN_NAME, FILE_NAME, MD5_HASH, SHA1_HASH, SHA256_HASH, THREAT_ACTOR e MALWARE.
Listar todos os indicadores com um tipo de ameaça específico e pontuação de confiança mínima

oci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --threat-type-name phishing --confidence-above 50

Consulte Tipos de Ameaças do Banco de Dados do Indicador de Ameaças ou use o comando threat-types-collection list-threat-types.

Use as seguintes operações para procurar indicadores de ameaça:

ListIndicators - Obtenha uma lista de todos os indicadores que correspondem aos parâmetros de pesquisa
GetIndicator - Obter detalhes sobre um indicador específico
ListThreatTypes - Obtenha uma lista de tipos de ameaça que você pode usar como parâmetros ao listar indicadores

Observação

Todos os recursos do Threat Intelligence têm escopo em toda a tenancy. Especifique o ID da tenancy (compartimento raiz) para todas as operações de API.

Listar todos os indicadores com um endereço IP específico

GET /20220901/indicators?compartmentId=<root_compartment_OCID>&indicatorType=IP_ADDRESS&value=<indicator_IP_address>
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

Resposta:

{
   "items": [
      {
        "confidence": 24,
        "id": "<indicator_OCID>",
        "labels": [
          "botnet"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
   ]
}

Os tipos de indicador suportados são IP_ADDRESS, URL, DOMAIN_NAME, FILE_NAME, MD5_HASH, SHA1_HASH, SHA256_HASH, THREAT_ACTOR e MALWARE.

Listar todos os indicadores com um tipo de ameaça específico e pontuação de confiança mínima

GET /20220901/indicators?compartmentId=<root_compartment_OCID>&label=bruteforce&confidenceGreaterThanOrEqualTo=50
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

Resposta:

{
   "items": [
      {
        "confidence": 65,
        "id": "<indicator_OCID>",
        "labels": [
          "bruteforce"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      },
      {
        "confidence": 85,
        "id": "<indicator_OCID>",
        "labels": [
          "bruteforce"
        ],
        "timeCreated": "2021-08-10T11:04:53.680Z",
        "timeLastUpdated": "2021-09-01T13:22:41.000Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
   ]
}

Consulte Tipos de Ameaças do Banco de Dados do Indicador de Ameaças.

Listar todos os indicadores de IP com um tipo de ameaça específico e pontuação de confiança mínima

POST 20220901/indicators/actions/summarize?compartmentId=<root_compartment_OCID>
Host: api-threatintel.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>
{
    "indicatorType": "IP_ADDRESS",
    "confidenceGreaterThanOrEqualTo": 50,
    "threatTypes": ["Criminal"]
}

Resposta:

{
  "data": {
    "items": [
      {
        "attributes": [
          {
            "name": "MaliciousConfidence",
            "value": "low"
          },
          {
            "name": "CSD",
            "value": "csa-220906"
          },
          {
            "name": "ThreatActor",
            "value": "solarspider"
          },
          {
            "name": "Malware",
            "value": "jsoutprox"
          }
        ],
        "compartmentId": "<indicator_compartment_id>",
        "confidence": 55,
        "geodata": {
          "adminDiv": "on",
          "city": "kennebrook",
          "countryCode": "ca",
          "geoId": "",
          "label": "abchost corp.",
          "latitude": "51.06",
          "longitude": "-114.09",
          "origin": "62563",
          "routedPrefix": ""
        },
        "id": "<indicator_OCID>",
        "lifecycleState": "ACTIVE",
        "threatTypes": [
          "Criminal",
          "RAT"
        ],
        "timeCreated": "2022-08-30T19:15:09.237Z",
        "timeLastSeen": "2022-08-30T19:07:13.000Z",
        "timeUpdated": "2022-09-06T07:11:23.503Z",
        "type": "IP_ADDRESS",
        "value": "<indicator_IP_address>"
      }
    ]
  },
  "headers": {
    "Content-Length": "1091",
    "Content-Type": "application/json",
    "Date": "Fri, 09 Sep 2022 14:46:07 GMT",
    "X-Content-Type-Options": "nosniff",
    "opc-next-page": "MTY2MjA3ODU5NTAwMHx8b2NpZDEudGhyZWF0ZW50aXR5Lm9jMS4uYWFhYWFhYWF1MnFjeDU2bGdxamxscnVxNHdtZG1xdXp0ZmpqeGsyd3V3dmliNWd3cWZtc3V5dHJzYmxh",
    "opc-previous-page": "",
    "opc-request-id": "EFBD59D5E9AC4072A06750EB5AEBEA7A/EAF6F605F3CABF83C6BB7ABD9F3398A4/FD04F21730E00B8074A422238071544B"
  },
  "status": "200 OK"
}

Consulte Tipos de Ameaças do Banco de Dados do Indicador de Ameaças.

Obter detalhes sobre um indicador específico

GET /20220901/indicators/<indicator_OCID>?compartmentId=<root_compartment_OCID>
Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
<authorization and other headers>

Resposta:

{
   "confidence": 80,
   "id": "<indicator_OCID>",
   "labels": [
      {
         "attribution": [
            {
               "score": 80,
               "source": {
                  "name": "Oracle"
               },
               "timeFirstSeen": "2021-07-15T16:56:42.212Z",
               "timeLastSeen": "2021-07-22T11:26:05.000Z"
            }
         ],
         "label": {
            "id": "bruteforce",
            "label": "bruteforce"
         }
      }
   ],
   "malwareFamilies": [],
   "targets": [],
   "threatTypes": [],
   "timeCreated": "2021-04-30T19:56:40.514Z",
   "timeLastUpdated": "2021-07-22T11:49:27.000Z",
   "type": "IP_ADDRESS",
   "value": "<indicator_IP_address>"
}

Documentação do Oracle Cloud Infrastructure

Pesquisando Indicadores de Ameaças