Deteksi IP berbahaya menggunakan komponen ThreatIntelligence - Security Center

Komponen AliyunThreatIntelligence menyediakan fitur kueri intelijen ancaman Alibaba Cloud.

Deskripsi fitur

Action	Deskripsi	Skenario
describeInformation	Menanyakan intelijen ancaman Alibaba Cloud.	Memeriksa apakah alamat IP, file, atau entitas lain bersifat berbahaya.

Contoh konfigurasi

Topik ini menyediakan contoh konfigurasi parameter untuk setiap action komponen ThreatIntelligence. Anda dapat mengimpor contoh ini sebagai playbook uji dan menggunakan editor alur visual untuk menguji parameter action serta mempelajari cara kerja komponen. Untuk informasi selengkapnya, lihat Impor playbook.

Catatan

Simpan data contoh sebagai file JSON sebelum melanjutkan.

Data Contoh

{
    "cells": [
        {
            "position": {
                "x": -440, 
                "y": -170
            }, 
            "size": {
                "width": 36, 
                "height": 36
            }, 
            "attrs": {
                "body": {
                    "fill": "white", 
                    "strokeOpacity": 0.95, 
                    "stroke": "#63ba4d", 
                    "strokeWidth": 2
                }, 
                "label": {
                    "text": "start", 
                    "fontSize": 12, 
                    "refX": 0.5, 
                    "refY": "100%", 
                    "refY2": 4, 
                    "textAnchor": "middle", 
                    "textVerticalAnchor": "top"
                }, 
                "path": {
                    "stroke": "#63ba4d"
                }
            }, 
            "visible": true, 
            "shape": "circle", 
            "id": "58d87b7d-28d9-4f0e-b135-4adc4f1a70e4", 
            "zIndex": 1, 
            "data": {
                "nodeType": "startEvent", 
                "appType": "basic", 
                "nodeName": "start", 
                "icon": "icon-circle", 
                "description": "The playbook start node. Each playbook must have exactly one start node. Configure input data for the playbook."
            }, 
            "markup": [
                {
                    "tagName": "circle", 
                    "selector": "body"
                }, 
                {
                    "tagName": "text", 
                    "selector": "label"
                }
            ], 
            "isNode": true
        }, 
        {
            "shape": "custom-edge", 
            "attrs": {
                "line": {
                    "stroke": "#63ba4d", 
                    "targetMarker": {
                        "stroke": "#63ba4d"
                    }
                }
            }, 
            "zIndex": 1, 
            "id": "5293c3f9-e1c9-4a49-b0eb-635067dc67e8", 
            "data": {
                "nodeType": "sequenceFlow", 
                "appType": "basic", 
                "isRequired": true, 
                "icon": "icon-upper-right-arrow"
            }, 
            "isNode": false, 
            "source": {
                "cell": "58d87b7d-28d9-4f0e-b135-4adc4f1a70e4"
            }, 
            "target": {
                "cell": "a0ba5cc1-7308-47c6-8c20-ea97ff4ba982"
            }, 
            "visible": true, 
            "router": {
                "name": "manhattan", 
                "args": {
                    "padding": 5, 
                    "excludeHiddenNodes": true, 
                    "excludeNodes": [
                        "clone_node_id"
                    ]
                }
            }, 
            "vertices": [ ]
        }, 
        {
            "position": {
                "x": -70, 
                "y": -170
            }, 
            "size": {
                "width": 36, 
                "height": 36
            }, 
            "attrs": {
                "body": {
                    "fill": "white", 
                    "strokeOpacity": 0.95, 
                    "stroke": "#63ba4d", 
                    "strokeWidth": 2
                }, 
                "path": {
                    "r": 12, 
                    "refX": "50%", 
                    "refY": "50%", 
                    "fill": "#63ba4d", 
                    "strokeOpacity": 0.95, 
                    "stroke": "#63ba4d", 
                    "strokeWidth": 4
                }, 
                "label": {
                    "text": "end", 
                    "fontSize": 12, 
                    "refX": 0.5, 
                    "refY": "100%", 
                    "refY2": 4, 
                    "textAnchor": "middle", 
                    "textVerticalAnchor": "top"
                }
            }, 
            "visible": true, 
            "shape": "circle", 
            "id": "317dd1be-2d20-460e-977e-1fc936ffb583", 
            "zIndex": 1, 
            "data": {
                "nodeType": "endEvent", 
                "appType": "basic", 
                "nodeName": "end", 
                "icon": "icon-radio-off-full", 
                "description": "end"
            }, 
            "markup": [
                {
                    "tagName": "circle", 
                    "selector": "body"
                }, 
                {
                    "tagName": "circle", 
                    "selector": "path"
                }, 
                {
                    "tagName": "text", 
                    "selector": "label"
                }
            ], 
            "isNode": true
        }, 
        {
            "position": {
                "x": -325, 
                "y": -185
            }, 
            "size": {
                "width": 137, 
                "height": 66
            }, 
            "view": "react-shape-view", 
            "attrs": {
                "label": {
                    "text": "ThreatIntelligence_1"
                }
            }, 
            "shape": "activity", 
            "id": "a0ba5cc1-7308-47c6-8c20-ea97ff4ba982", 
            "data": {
                "componentName": "ThreatIntelligence", 
                "appType": "component", 
                "nodeType": "action", 
                "icon": "https://sophon-gen-v2.oss-cn-zhangjiakou.aliyuncs.com/componentUpload/1709621963021_ThreatIntelligence_logo.png?Expires=1745653947&OSSAccessKeyId=STS.NVSf************&Signature=5sM3Yf1mMUYucQMk0Qdl7ms7Q6k%3D&security-token=CAIS2AJ1q6Ft5B2yfSjIr5XmLdnOq51W35DYehD9rEU2b%2FlOioeZoTz2IHhMenFpAegcv%2Fw%2BlGFZ6%2F8elrp6SJtIXleCZtF94oxN9h2gb4fb42oQKDOK0s%2FLI3OaLjKm9u2wCryLYbGwU%2FOpbE%2B%2B5U0X6LDmdDKkckW4OJmS8%2FBOZcgWWQ%2FKBlgvRq0hRG1YpdQdKGHaONu0LxfumRCwNkdzvRdmgm4NgsbWgO%2Fks0OP3AOrlrBN%2Bdiuf8T9NvMBZskvD42Hu8VtbbfE3SJq7BxHybx7lqQs%2B02c5onDWwAJu0%2FXa7uEo4wydVNjFbM9A65Dqufxn%2Fpgt%2Braj4X7xhhEIOVJSSPbSZBbSxJNvU1RXDxQVcEYWxylurjnXvF%2B45y49dcUGin%2B2svzhw6RGJ1dq8DgINtD0jokjPndRVbLXs84nxS7gbsGn76oY2zradH%2FdU79rm%2FlMytAXxqAAac9os3AP8Nzzgoznum6vHAy6hg20xps4DvoSeI%2FpHxuGwDOpnBW28WBgatsejfq3xcbniKRLqja8PA609xdkIt9%2F2fUaH7cAgAZxkFj8ZazMYuZ4jCdN2VM5qLHdj5CMBNTU2VIm8rQaKk9e1umHFILg%2Fsn1sBNnqzGfhZyq%2BlJIAA%3D", 
                "ownType": "sys", 
                "zIndex": 1, 
                "tenantId": "baba", 
                "customInput": false, 
                "description": "Threat intelligence query.", 
                "id": 0, 
                "name": "describeInformation", 
                "operateType": "general", 
                "parameters": [
                    {
                        "dataType": "String", 
                        "defaultValue": "", 
                        "description": "The type of intelligence. Valid values: ip, file, domain.", 
                        "enDescription": "", 
                        "formConfig": "{\"component\":\"Select\",\"options\":{\"selectMode\":\"mixSelect\",\"remote\":false,\"optionList\":[{\"label\":\"Domain\",\"value\":\"domain\"},{\"label\":\"IP\",\"value\":\"ip\"},{\"label\":\"File HASH\",\"value\":\"file\"}],\"mode\":\"single\",\"labelKey\":\"label\",\"valueKey\":\"value\"}}", 
                        "name": "entityType", 
                        "needCascader": false, 
                        "required": true, 
                        "tags": ""
                    }, 
                    {
                        "dataType": "String", 
                        "defaultValue": "", 
                        "description": "When entityType is ip, enter the IP address to query. Example: 192.0.XX.XX. When entityType is file, enter the file hash (MD5 value). Example: b4208cc50cb***0f82a47d***fde4312a. When entityType is domain, enter the domain name to query. Wildcard domains are supported. Example: example.com.", 
                        "enDescription": "", 
                        "name": "entityValue", 
                        "needCascader": false, 
                        "required": true, 
                        "tags": ""
                    }
                ], 
                "riskLevel": 2, 
                "nodeName": "ThreatIntelligence_1", 
                "actionName": "describeInformation", 
                "actionDisplayName": "describeInformation", 
                "cascaderValue": [ ], 
                "valueData": {
                    "entityType": "ip", 
                    "entityValue": "127.0.0.1"
                }, 
                "status": "success"
            }, 
            "zIndex": 1
        }, 
        {
            "shape": "custom-edge", 
            "attrs": {
                "line": {
                    "stroke": "#63ba4d", 
                    "targetMarker": {
                        "stroke": "#63ba4d"
                    }
                }
            }, 
            "zIndex": 1, 
            "id": "cdf4a475-3dd1-4883-a56b-d90444e11c64", 
            "data": {
                "nodeType": "sequenceFlow", 
                "appType": "basic", 
                "isRequired": true, 
                "icon": "icon-upper-right-arrow"
            }, 
            "isNode": false, 
            "visible": true, 
            "router": {
                "name": "manhattan", 
                "args": {
                    "padding": 5, 
                    "excludeHiddenNodes": true, 
                    "excludeNodes": [
                        "clone_node_id"
                    ]
                }
            }, 
            "source": {
                "cell": "a0ba5cc1-7308-47c6-8c20-ea97ff4ba982"
            }, 
            "target": {
                "cell": "317dd1be-2d20-460e-977e-1fc936ffb583"
            }, 
            "vertices": [ ]
        }
    ]
}

Deskripsi parameter

Parameter	Deskripsi
entityType	Jenis intelijen. Nilai yang valid: ip, file, domain.
entityValue	Jika entityType adalah ip, masukkan alamat IP yang akan dikueri. Contoh: 192.0.XX.XX. Jika entityType adalah file, masukkan hash file (nilai MD5). Contoh: b4208cc50cb*0f82a47d*fde4312a. Jika entityType adalah domain, masukkan nama domain yang akan dikueri. Domain wildcard didukung. Contoh: example.com.

Contoh output

Tipe IP

Parameter output

Parameter

Deskripsi

Intelligences

Informasi event intelijen ancaman, diformat sebagai string JSON. Bidang JSON dijelaskan di bawah ini:

source: Sumber event intelijen ancaman.
first_find_time: Waktu pertama kali event ditemukan.
last_find_time: Waktu aktif terakhir.
threat_type_l2: Tag ancaman detail. Ini bisa berupa tag family atau group (seperti Mykings) atau metode serangan (seperti SQL injection), yang menjelaskan karakteristik ancaman spesifik dari IP ini.

Whois

Informasi Whois untuk alamat IP.

RequestId

Pengidentifikasi unik yang dihasilkan Alibaba Cloud untuk permintaan ini.

AttackPreferenceTop5

Lima industri target serangan teratas oleh IP ini.

event_cnt: Jumlah serangan.
industry_name: Kategori industri target serangan.
gmt_last_attack: Waktu serangan terbaru.

Confidence

Tingkat kepercayaan terhadap hasil penentuan. Nilai confidence yang lebih tinggi menunjukkan kepastian hasil yang lebih besar (ditunjukkan oleh bidang ThreatLevel). Hasil dengan tingkat kepercayaan di atas 90 umumnya dianggap akurat. Blokir indikator dengan tingkat ancaman tinggi dan confidence tinggi. Izinkan traffic untuk hasil normal (ThreatLevel sama dengan 0).

Rentang valid: 0–100

[90–100): Intelijen sangat andal. Gunakan sebagai dasar pemblokiran atau pengizinan traffic. Jika ThreatLevel=3, ancaman berisiko tinggi—blokir. Jika ThreatLevel=0, hasil normal—izinkan.
[60–90): Intelijen cukup andal tetapi tidak cukup untuk pemblokiran. Biasanya berlaku untuk IP yang menunjukkan perilaku berbahaya tertentu. Gunakan sebagai data tambahan untuk analitik keamanan.
Lainnya: Informasi terkait ancaman dalam intelijen memiliki tingkat kepercayaan rendah.

ThreatTypes

Tag risiko yang diturunkan dari intelijen ancaman dan analisis event keamanan, seperti remote control atau malware. Parameter ini berupa string JSON. Bidang JSON dijelaskan di bawah ini:

threat_type: Jenis ancaman.
Jenis ancaman umum
- IDC: Server IDC
- Tor: Dark web
- Proxy: agent
- NAT: Public exit
- Miner Pool: Kolam Penambang
- C&C Server: Command and control server
- Brute Force: Brute-force attacks
- Malicious Login: Malicious logon
- WEB Attack: Web attack
- Malicious Source: Malicious download source
- Network Service Scanning: Network service scanning
- Exploit: An attack that takes advantage of a vulnerability.
- Network Share Discovery: Network share discovery
- Scheduled Task: Windows scheduled task
- BITS Jobs: BITS job
- Command-Line Interface: Malicious command
- Mshta execution: Mshta execution
- Regsvr32: Regsvr32 execution
- Signed Binary Proxy Execution: Signed binary proxy execution
- Local Job Scheduling: Linux scheduled task
- Rundll32: Rundll32 execution
- Web Shell: WebShell communication
- SQL Injection: SQL injection attack
- XSS Attack: XSS attack
threat_type_desc: Deskripsi tag.
risk_type: Tingkat ancaman (3 = risiko tinggi, 2 = risiko menengah, 1 = mencurigakan, 0 = normal, –1 = tidak diketahui).
scenario: Skenario keamanan yang berlaku (indikator serangan atau indikator kompromi).
first_find_time: Waktu pertama kali tag diterapkan.
last_find_time: Waktu terakhir tag diterapkan.
attck_stage: Tahapan MITRE ATT&CK terkait.

Scenario

Skenario serangan yang berlaku untuk IP ini.

Attack indicator: IP ini secara aktif memulai traffic serangan. Cocokkan pada perangkat keamanan seperti firewall atau WAF sebagai sumber eksternal-ke-internal dan blokir berdasarkan tag-nya.
Compromise indicator: Penyerang menggunakan skrip atau malware yang berkomunikasi dengan IP ini untuk transfer perintah dan data. Mendeteksi IP ini dalam traffic atau log berarti host telah dikompromikan.
Information data: Termasuk entri daftar putih. Bidang ini hanya berisi data informasi dan tidak menimbulkan risiko.

Informasi dasar IP, diformat sebagai string JSON. Bidang JSON dijelaskan di bawah ini:

ip: Alamat IP
idc_name: Nama server IDC
isp: Penyedia layanan Internet
country: Negara
province: Provinsi
City: kota
asn: ASN (Autonomous System Number)
asn_label: Nama ASN

ThreatLevel

Tingkat ancaman yang menunjukkan potensi bahaya jika cocok. Terdapat lima level: risiko tinggi, risiko menengah, risiko rendah, normal, dan tidak diketahui. Gabungkan bidang ini dengan Confidence untuk menentukan tindakan. Blokir data yang ditandai sebagai risiko tinggi dengan confidence tinggi. Izinkan entri normal (daftar putih).

–1: Tidak diketahui
0: Normal (daftar putih)—izinkan
1: Risiko rendah
2: Risiko menengah
3: Risiko tinggi

AttackCntByThreatType

Jumlah serangan per tahapan MITRE ATT&CK. Parameter ini berupa array JSON. Bidang array dijelaskan di bawah ini:

event_cnt: Jumlah serangan.
threat_type: Tahapan MITRE ATT&CK terkait.

Contoh

{
    "Context": "",
    "Group": "",
    "Whois": "",
    "AttackCntByThreatType": [
        {
            "event_cnt": 1,
            "threat_type": "Application layer intrusion"
        }
    ],
    "ThreatLevel": -1,
    "Confidence": "",
    "Ip": {
        "country": "",
        "province": "",
        "city": "",
        "ip": "127.0.0.1",
        "isp": "",
        "asn": "",
        "asn_label": ""
    },
    "ThreatTypes": "",
    "Intelligences": [],
    "AttackPreferenceTop5": [
        {
            "event_cnt": 2407,
            "industry_name": "IoT",
            "gmt_last_attack": "2021-12-15 23:59:15"
        },
        {
            "event_cnt": 4813,
            "industry_name": "Manufacturing",
            "gmt_last_attack": "2021-12-15 23:59:49"
        },
        {
            "event_cnt": 2240,
            "industry_name": "Finance",
            "gmt_last_attack": "2021-12-15 23:59:41"
        },
        {
            "event_cnt": 16954,
            "industry_name": "Retail",
            "gmt_last_attack": "2021-12-15 23:59:31"
        },
        {
            "event_cnt": 28764,
            "industry_name": "Internet",
            "gmt_last_attack": "2021-12-15 23:59:48"
        }
    ],
    "Scenario": ""
}

Tipe File

Parameter output

Parameter	Deskripsi
Intelligences	Event intelijen ancaman, diformat sebagai array JSON. Elemen array mencakup Trojan DDoS, program penambangan, intrusi lapisan jaringan, pemindaian layanan jaringan, penemuan berbagi jaringan, kolam penambang, eksploitasi, aktivitas dark web, logon berbahaya, sumber unduhan berbahaya, server C&C, Web Shell, dan serangan web.
RequestI	Pengidentifikasi unik yang dihasilkan Alibaba Cloud untuk permintaan ini.
FileHash	Nilai hash file.
ThreatTypes	Tag risiko dan server yang diturunkan dari intelijen ancaman dan analisis event keamanan. Parameter ini berupa array. Setiap elemen mencakup hal berikut: threat_type_desc: Jenis ancaman. Nilai mencakup Rootkit, program backdoor, program mencurigakan, program penambangan, Trojan DDoS, malware, worm, alat peretas mencurigakan, program Trojan, perangkat lunak dasar terkontaminasi (disisipi kode berbahaya), virus menular, program eksploitasi, ransomware, Trojan self-mutating, program berisiko tinggi, dan alat peretas. last_find_time: Waktu penemuan terbaru. risk_type: Menunjukkan apakah tag bersifat berbahaya. 0 = tidak berbahaya, 1 = berbahaya, –1 = tidak diketahui. threat_type: Jenis ancaman. Nilai ini berupa array. Elemen array mencakup intrusi lapisan jaringan, pemindaian layanan jaringan, penemuan berbagi jaringan, kolam penambang, eksploitasi, aktivitas dark web, logon berbahaya, sumber unduhan berbahaya, server C&C, Web Shell, dan serangan web.
Basic	Informasi dasar file, diformat sebagai string JSON. Bidang JSON dijelaskan di bawah ini: md5: Hash MD5 file. sha1: Hash SHA1 file. sha256: Hash SHA256 file. sha512: Hash SHA512 file. virus_result: Hasil pemindaian statis. 0 = normal, 1 = berbahaya, –1 = tidak diketahui. sandbox_result: Hasil sandbox dinamis. 0 = normal, 1 = berbahaya, –1 = tidak diketahui. source: Sumber file. Satu-satunya nilai valid adalah aegis, yang menunjukkan deteksi oleh Security Center.
ThreatLevel	Tingkat ancaman. –1: Tidak diketahui 0: Normal 1: Mencurigakan 2: Risiko menengah 3: Risiko tinggi

Contoh

{
    "Intelligences": [
        "DDoS Trojan"
    ],
    "RequestId": "3F2BBCA2-4EE5-456F-****-DE0B69CAFD71",
    "FileHash": "02e6b7cf0d34c6eac05*****751208b",
    "ThreatTypes": [
        {
            "threat_type_desc": "DDoS Trojan",
            "risk_type": 1,
            "threat_type": "DDoS"
        }
    ],
    "Basic": {
        "sha1": "",
        "virus_result": "1",
        "sandbox_result": "-1",
        "sha256": "",
        "sha512": "",
        "virus_name": "Self-mutating Trojan",
        "source": "aegis"
    },
    "ThreatLevel": "2",
    "Sandbox": ""
}

Tipe Domain

Parameter output

Parameter	Deskripsi
Intelligences	Event intelijen ancaman detail, diformat sebagai array JSON. Bidang JSON dijelaskan di bawah ini: source: Sumber data intelijen ancaman. first_find_time: Waktu pertama kali event ditemukan. last_find_time: Waktu aktif terakhir. threat_type_l2: Tag ancaman detail. Ini bisa berupa tag family atau group (seperti Mykings, APT32) atau metode serangan (seperti BITS job), yang menjelaskan teknik yang digunakan untuk terhubung ke domain. threat_type: Kategori ancaman utama yang sesuai dengan tag detail. refer: Referensi terkait.
Domain	Nama domain.
SslCert	Informasi sertifikat SSL yang terikat pada domain, diformat sebagai string JSON.
AttackPreferenceTop5	Lima industri situs web teratas yang diserang melalui domain ini. Parameter ini berupa array JSON. Bidang JSON dijelaskan di bawah ini: event_cnt: Jumlah serangan. industry_name: Kategori industri target serangan. gmt_last_attack: Waktu serangan terbaru.
ThreatTypes	Data intelijen ancaman detail terkait domain ini, diformat sebagai array JSON. Setiap elemen array mencakup hal berikut: threat_type: Jenis ancaman. Jenis umum Botnet: Botnet Trojan (Trojan horse) Worm: worm Malware: Malicious software. Ransomware: Ransomware APT: Advanced Persistent Threat attack RAT: Remote access trojan C&C Server: Command and control server Miner Pool: Mining pool Malicious Source: Malicious download source Scheduled Task: Windows scheduled task BITS Jobs: BITS job Command-Line Interface: Malicious command Mshta execution: Mshta execution Regsvr32: Regsvr32 execution Signed Binary Proxy Execution: Signed binary proxy execution Local Job Scheduling: Linux scheduled task Rundll32: Rundll32 execution threat_type_desc: Deskripsi tag dalam bahasa Tionghoa. first_find_time: Waktu pertama kali tag diterapkan. last_find_time: Waktu terakhir tag diterapkan. risk_type: Menunjukkan apakah tag bersifat berbahaya. 0 = tidak berbahaya, 1 = risiko rendah, 2 = risiko menengah, 3 = risiko tinggi, –1 = tidak diketahui. scenario: Skenario tempat domain ini berada—indikator kompromi atau indikator serangan. attck_stage: Tahapan MITRE ATT&CK terkait.
Confidence	Tingkat kepercayaan terhadap hasil penentuan. Nilai confidence yang lebih tinggi menunjukkan kepastian hasil yang lebih besar (ditunjukkan oleh bidang ThreatLevel). Hasil dengan tingkat kepercayaan di atas 90 umumnya dianggap akurat. Blokir indikator dengan tingkat ancaman tinggi dan confidence tinggi. Izinkan traffic untuk hasil normal (ThreatLevel sama dengan 0). Rentang valid: 60–100 [90–100): Intelijen sangat andal. Gunakan sebagai dasar pemblokiran atau pengizinan traffic. Jika `ThreatLevel=3`, ancaman berisiko tinggi—blokir. Jika `ThreatLevel=0`, hasil normal—izinkan. [60–90): Intelijen cukup andal tetapi tidak cukup untuk pemblokiran. Biasanya berlaku untuk domain yang menunjukkan perilaku berbahaya tertentu. Gunakan sebagai data tambahan untuk analitik keamanan. Lainnya: Informasi terkait ancaman dalam intelijen memiliki tingkat kepercayaan rendah.
ThreatLevel	Tingkat ancaman yang menunjukkan potensi bahaya jika cocok. Terdapat lima level: risiko tinggi, risiko menengah, risiko rendah, normal, dan tidak diketahui. Gabungkan bidang ini dengan Confidence untuk menentukan tindakan. Blokir data yang ditandai sebagai risiko tinggi dengan confidence tinggi. Izinkan entri normal (daftar putih). –1: Tidak diketahui 0: Normal (daftar putih)—izinkan 1: Risiko rendah 2: Risiko menengah 3: Risiko tinggi
AttackCntByThreatType	Jumlah serangan per tahapan MITRE ATT&CK. Parameter ini berupa array JSON. Bidang array dijelaskan di bawah ini: event_cnt: Jumlah serangan. threat_type: Tahapan MITRE ATT&CK terkait.
Whois	Informasi Whois untuk domain.
RequestId	Pengidentifikasi unik yang dihasilkan Alibaba Cloud untuk permintaan ini.
Scenario	Skenario serangan yang berlaku untuk domain ini. Satu atau beberapa nilai berikut mungkin berlaku: Attack indicator: Domain biasanya bukan indikator serangan. Compromise indicator: Penyerang menggunakan skrip atau malware yang berkomunikasi dengan domain ini untuk transfer perintah dan data. Mendeteksi domain ini dalam traffic atau log berarti host telah dikompromikan. Ini merepresentasikan komunikasi C2 pasca-kompromi. Information data: Termasuk entri daftar putih. Bidang ini hanya berisi data informasi dan tidak menimbulkan risiko.
Basic	Informasi dasar domain, diformat sebagai objek JSON. Bidang dijelaskan di bawah ini: domain: Nama domain sld_domain: Domain tingkat kedua (SLD) reg_date: Tanggal pendaftaran domain expire_date: Tanggal kedaluwarsa domain child_domain_cnt: Jumlah subdomain malicious_child_domain_cnt: Jumlah subdomain berbahaya ip_cnt: Jumlah alamat IP yang diselesaikan untuk domain ini dalam satu tahun terakhir malicious_ip_cnt: Jumlah alamat IP berbahaya yang diselesaikan untuk domain ini dalam satu tahun terakhir

Contoh

{
    "Intelligences": [
        {
            "last_find_time": "2020-06-17 03:54:23",
            "threat_type_l2": "Malicious download source",
            "first_find_time": "2020-01-01 00:59:52",
            "source": "aliyun"
        },
        {
            "last_find_time": "2020-11-10 14:45:12",
            "threat_type_l2": "rexxx.exe executing malicious file",
            "first_find_time": "2017-09-22 11:15:00",
            "source": "aliyun"
        }
    ],
    "Domain": "example.com",
    "SslCert": {
        "serial_number": "183954751680****4",
        "validity_end": "2029-12-02 06:00:31",
        "issuer": "example.ca"
    },
    "AttackPreferenceTop5": "[{\"event_cnt\":586,\"industry_name\":\"Gaming\",\"gmt_last_attack\":\"2020-06-14 21:54:04\"}]",
    "ThreatTypes": [
        {
            "threat_type_desc": "Malicious download source",
            "last_find_time": "2020-06-17 03:54:23",
            "risk_type": 3,
            "scenario": "Compromise indicator",
            "threat_type": "Malicious Source",
            "first_find_time": "2020-01-01 00:59:52",
            "attck_stage": "delivery"
        },
        {
            "threat_type_desc": "Regsvr32 execution",
            "last_find_time": "2020-11-10 14:45:12",
            "risk_type": 3,
            "scenario": "Compromise indicator",
            "threat_type": "Regsvr32",
            "first_find_time": "2017-09-22 11:15:00",
            "attck_stage": "defense evasion"
        }
    ],
    "Confidence": "95",
    "ThreatLevel": "2",
    "AttackCntByThreatType": {
        "event_cnt": 27,
        "threat_type": "Network Layer intrusion"
    },
    "Context": "",
    "Whois": {
        "registrant_phone": "",
        "registrar": "XX Technology Co., Ltd.",
        "registrar_url": "",
        "whois_server": "whois.cnnic.cn",
        "admin_phone": "",
        "registrar_phone": "",
        "registrant_email": "",
        "admin_email": "",
        "admin_organization": "",
        "tech_name": "",
        "registrant_city": "",
        "tech_street": "",
        "tech_phone": "",
        "dnssec": "unsigned",
        "admin_province": "",
        "tech_organization": "",
        "registrant_country": "",
        "admin_city": "",
        "registrant_province": "",
        "admin_street": "",
        "tech_email": "",
        "nameservers": "ns4.myhostadmin.net,ns1.myhostadmin.net,ns2.myhostadmin.net,ns3.myhostadmin.net,ns5.myhostadmin.net,ns6.myhostadmin.net",
        "registrar_email": "",
        "domain_status": "ok",
        "domain": "example.com",
        "tech_city": "",
        "registrant_name": "",
        "registrant_organization": "",
        "tech_country": "",
        "registrant_street": "",
        "admin_name": "",
        "tech_province": "",
        "admin_country": ""
    },
    "RequestId": "718747A4-9A75-4130-88F9-C9B47350B7F5",
    "Scenario": "Compromise indicator",
    "Basic": {
        "ip_cnt": "36",
        "domain": "example.com",
        "child_domain_cnt": "18",
        "sld_domain": "example.com",
        "malicious_ip_cnt": "28",
        "malicious_child_domain_cnt": "4"
    },
    "Group": ""
}