ThreatIntelligence コンポーネントを使用した悪意のある IP の検出 - Security Center

AliyunThreatIntelligence コンポーネントは、Alibaba Cloud の脅威インテリジェンスクエリ機能を提供します。

機能概要

操作	説明	利用シーン
describeInformation	Alibaba Cloud の脅威インテリジェンスをクエリします。	IP アドレス、ファイル、またはその他のエンティティが悪意のあるものかどうかを確認します。

構成例

このトピックでは、ThreatIntelligence コンポーネントの各操作に対するパラメーター構成例を示します。これらの例をテスト用プレイブックとしてインポートし、ビジュアルフローエディターを使用して操作パラメーターをテストし、コンポーネントの動作を確認できます。詳細については、「プレイブックのインポート」をご参照ください。

説明

続行する前に、例のデータを JSON ファイルとして保存してください。

例のデータ

{
    "cells": [
        {
            "position": {
                "x": -440, 
                "y": -170
            }, 
            "size": {
                "width": 36, 
                "height": 36
            }, 
            "attrs": {
                "body": {
                    "fill": "white", 
                    "strokeOpacity": 0.95, 
                    "stroke": "#63ba4d", 
                    "strokeWidth": 2
                }, 
                "label": {
                    "text": "start", 
                    "fontSize": 12, 
                    "refX": 0.5, 
                    "refY": "100%", 
                    "refY2": 4, 
                    "textAnchor": "middle", 
                    "textVerticalAnchor": "top"
                }, 
                "path": {
                    "stroke": "#63ba4d"
                }
            }, 
            "visible": true, 
            "shape": "circle", 
            "id": "58d87b7d-28d9-4f0e-b135-4adc4f1a70e4", 
            "zIndex": 1, 
            "data": {
                "nodeType": "startEvent", 
                "appType": "basic", 
                "nodeName": "start", 
                "icon": "icon-circle", 
                "description": "プレイブックの開始ノードです。各プレイブックには、必ず 1 つの開始ノードが必要です。プレイブックの入力データを設定します。"
            }, 
            "markup": [
                {
                    "tagName": "circle", 
                    "selector": "body"
                }, 
                {
                    "tagName": "text", 
                    "selector": "label"
                }
            ], 
            "isNode": true
        }, 
        {
            "shape": "custom-edge", 
            "attrs": {
                "line": {
                    "stroke": "#63ba4d", 
                    "targetMarker": {
                        "stroke": "#63ba4d"
                    }
                }
            }, 
            "zIndex": 1, 
            "id": "5293c3f9-e1c9-4a49-b0eb-635067dc67e8", 
            "data": {
                "nodeType": "sequenceFlow", 
                "appType": "basic", 
                "isRequired": true, 
                "icon": "icon-upper-right-arrow"
            }, 
            "isNode": false, 
            "source": {
                "cell": "58d87b7d-28d9-4f0e-b135-4adc4f1a70e4"
            }, 
            "target": {
                "cell": "a0ba5cc1-7308-47c6-8c20-ea97ff4ba982"
            }, 
            "visible": true, 
            "router": {
                "name": "manhattan", 
                "args": {
                    "padding": 5, 
                    "excludeHiddenNodes": true, 
                    "excludeNodes": [
                        "clone_node_id"
                    ]
                }
            }, 
            "vertices": [ ]
        }, 
        {
            "position": {
                "x": -70, 
                "y": -170
            }, 
            "size": {
                "width": 36, 
                "height": 36
            }, 
            "attrs": {
                "body": {
                    "fill": "white", 
                    "strokeOpacity": 0.95, 
                    "stroke": "#63ba4d", 
                    "strokeWidth": 2
                }, 
                "path": {
                    "r": 12, 
                    "refX": "50%", 
                    "refY": "50%", 
                    "fill": "#63ba4d", 
                    "strokeOpacity": 0.95, 
                    "stroke": "#63ba4d", 
                    "strokeWidth": 4
                }, 
                "label": {
                    "text": "end", 
                    "fontSize": 12, 
                    "refX": 0.5, 
                    "refY": "100%", 
                    "refY2": 4, 
                    "textAnchor": "middle", 
                    "textVerticalAnchor": "top"
                }
            }, 
            "visible": true, 
            "shape": "circle", 
            "id": "317dd1be-2d20-460e-977e-1fc936ffb583", 
            "zIndex": 1, 
            "data": {
                "nodeType": "endEvent", 
                "appType": "basic", 
                "nodeName": "end", 
                "icon": "icon-radio-off-full", 
                "description": "end"
            }, 
            "markup": [
                {
                    "tagName": "circle", 
                    "selector": "body"
                }, 
                {
                    "tagName": "circle", 
                    "selector": "path"
                }, 
                {
                    "tagName": "text", 
                    "selector": "label"
                }
            ], 
            "isNode": true
        }, 
        {
            "position": {
                "x": -325, 
                "y": -185
            }, 
            "size": {
                "width": 137, 
                "height": 66
            }, 
            "view": "react-shape-view", 
            "attrs": {
                "label": {
                    "text": "ThreatIntelligence_1"
                }
            }, 
            "shape": "activity", 
            "id": "a0ba5cc1-7308-47c6-8c20-ea97ff4ba982", 
            "data": {
                "componentName": "ThreatIntelligence", 
                "appType": "component", 
                "nodeType": "action", 
                "icon": "https://sophon-gen-v2.oss-cn-zhangjiakou.aliyuncs.com/componentUpload/1709621963021_ThreatIntelligence_logo.png?Expires=1745653947&OSSAccessKeyId=STS.NVSf************&Signature=5sM3Yf1mMUYucQMk0Qdl7ms7Q6k%3D&security-token=CAIS2AJ1q6Ft5B2yfSjIr5XmLdnOq51W35DYehD9rEU2b%2FlOioeZoTz2IHhMenFpAegcv%2Fw%2BlGFZ6%2F8elrp6SJtIXleCZtF94oxN9h2gb4fb42oQKDOK0s%2FLI3OaLjKm9u2wCryLYbGwU%2FOpbE%2B%2B5U0X6LDmdDKkckW4OJmS8%2FBOZcgWWQ%2FKBlgvRq0hRG1YpdQdKGHaONu0LxfumRCwNkdzvRdmgm4NgsbWgO%2Fks0OP3AOrlrBN%2Bdiuf8T9NvMBZskvD42Hu8VtbbfE3SJq7BxHybx7lqQs%2B02c5onDWwAJu0%2FXa7uEo4wydVNjFbM9A65Dqufxn%2Fpgt%2Braj4X7xhhEIOVJSSPbSZBbSxJNvU1RXDxQVcEYWxylurjnXvF%2B45y49dcUGin%2B2svzhw6RGJ1dq8DgINtD0jokjPndRVbLXs84nxS7gbsGn76oY2zradH%2FdU79rm%2FlMytAXxqAAac9os3AP8Nzzgoznum6vHAy6hg20xps4DvoSeI%2FpHxuGwDOpnBW28WBgatsejfq3xcbniKRLqja8PA609xdkIt9%2F2fUaH7cAgAZxkFj8ZazMYuZ4jCdN2VM5qLHdj5CMBNTU2VIm8rQaKk9e1umHFILg%2Fsn1sBNnqzGfhZyq%2BlJIAA%3D", 
                "ownType": "sys", 
                "zIndex": 1, 
                "tenantId": "baba", 
                "customInput": false, 
                "description": "脅威インテリジェンスのクエリ。", 
                "id": 0, 
                "name": "describeInformation", 
                "operateType": "general", 
                "parameters": [
                    {
                        "dataType": "String", 
                        "defaultValue": "", 
                        "description": "インテリジェンスの種類です。有効な値：ip、file、domain。", 
                        "enDescription": "", 
                        "formConfig": "{\"component\":\"Select\",\"options\":{\"selectMode\":\"mixSelect\",\"remote\":false,\"optionList\":[{\"label\":\"ドメイン\",\"value\":\"domain\"},{\"label\":\"IP\",\"value\":\"ip\"},{\"label\":\"ファイルハッシュ\",\"value\":\"file\"}],\"mode\":\"single\",\"labelKey\":\"label\",\"valueKey\":\"value\"}}", 
                        "name": "entityType", 
                        "needCascader": false, 
                        "required": true, 
                        "tags": ""
                    }, 
                    {
                        "dataType": "String", 
                        "defaultValue": "", 
                        "description": "entityType が ip の場合、クエリ対象の IP アドレスを入力します（例：192.0.XX.XX）。entityType が file の場合、ファイルのハッシュ（MD5 値）を入力します（例：b4208cc50cb***0f82a47d***fde4312a）。entityType が domain の場合、クエリ対象のドメイン名を入力します。ワイルドカードドメインもサポートされます（例：example.com）。", 
                        "enDescription": "", 
                        "name": "entityValue", 
                        "needCascader": false, 
                        "required": true, 
                        "tags": ""
                    }
                ], 
                "riskLevel": 2, 
                "nodeName": "ThreatIntelligence_1", 
                "actionName": "describeInformation", 
                "actionDisplayName": "describeInformation", 
                "cascaderValue": [ ], 
                "valueData": {
                    "entityType": "ip", 
                    "entityValue": "127.0.0.1"
                }, 
                "status": "success"
            }, 
            "zIndex": 1
        }, 
        {
            "shape": "custom-edge", 
            "attrs": {
                "line": {
                    "stroke": "#63ba4d", 
                    "targetMarker": {
                        "stroke": "#63ba4d"
                    }
                }
            }, 
            "zIndex": 1, 
            "id": "cdf4a475-3dd1-4883-a56b-d90444e11c64", 
            "data": {
                "nodeType": "sequenceFlow", 
                "appType": "basic", 
                "isRequired": true, 
                "icon": "icon-upper-right-arrow"
            }, 
            "isNode": false, 
            "visible": true, 
            "router": {
                "name": "manhattan", 
                "args": {
                    "padding": 5, 
                    "excludeHiddenNodes": true, 
                    "excludeNodes": [
                        "clone_node_id"
                    ]
                }
            }, 
            "source": {
                "cell": "a0ba5cc1-7308-47c6-8c20-ea97ff4ba982"
            }, 
            "target": {
                "cell": "317dd1be-2d20-460e-977e-1fc936ffb583"
            }, 
            "vertices": [ ]
        }
    ]
}

パラメーターの説明

パラメーター	説明
entityType	インテリジェンスの種類です。有効な値：ip、file、domain。
entityValue	entityType が ip の場合、クエリ対象の IP アドレスを入力します（例：192.0.XX.XX）。 entityType が file の場合、ファイルのハッシュ（MD5 値）を入力します（例：b4208cc50cb*0f82a47d*fde4312a）。 entityType が domain の場合、クエリ対象のドメイン名を入力します。ワイルドカードドメインもサポートされます（例：example.com）。

出力例

IP タイプ

出力パラメーター

パラメーター

説明

Intelligences

脅威インテリジェンスイベント情報で、JSON 文字列形式です。JSON のフィールドは以下のとおりです：

source：脅威インテリジェンスイベントのソース。
first_find_time：イベントが初めて検出された時刻。
last_find_time：最後にアクティブだった時刻。
threat_type_l2：詳細な脅威タグ。ファミリーまたはグループタグ（例：Mykings）や攻撃手法（例：SQL インジェクション）などであり、当該 IP の具体的な脅威特性を記述します。

Whois

IP アドレスの Whois 情報。

RequestId

Alibaba Cloud がこのリクエストに対して生成した一意の識別子。

AttackPreferenceTop5

当該 IP が攻撃した上位 5 つの業界ターゲット。

event_cnt：攻撃回数。
industry_name：攻撃ターゲットの業界カテゴリ。
gmt_last_attack：最新の攻撃時刻。

Confidence

判定結果に対する信頼度です。信頼度の値が高いほど、結果（ThreatLevel フィールドで示される）に対する確信度が高くなります。信頼度が 90 を超える結果は、一般的に正確であると見なされます。脅威レベルおよび信頼度がともに高い指標は遮断対象とし、正常な結果（ThreatLevel = 0）はトラフィックを許可します。

有効範囲：0–100

[90–100)：インテリジェンスは非常に信頼性が高く、遮断または許可の判断根拠として使用できます。ThreatLevel=3 の場合は脅威リスクが高いため遮断してください。ThreatLevel=0 の場合は正常な結果であるため許可してください。
[60–90)：インテリジェンスはある程度信頼できますが、遮断の根拠としては不十分です。通常、何らかの悪意のある行為を示す IP に適用されます。セキュリティ分析の補足データとしてご活用ください。
その他：インテリジェンス内の脅威関連情報の信頼度が低いことを示します。

ThreatTypes

脅威インテリジェンスおよびセキュリティイベント分析から導き出されたリスクタグ（例：リモート制御、マルウェア）です。このパラメーターは JSON 文字列です。JSON のフィールドは以下のとおりです：

threat_type：脅威タイプ。
一般的な脅威タイプ
- IDC：IDC サーバー
- Tor：ダークウェブ
- Proxy：エージェント
- NAT：パブリック出口
- Miner Pool：マイニングプール
- C&C Server：コマンド・アンド・コントロールサーバー
- Brute Force：ブルートフォース攻撃
- Malicious Login：悪意のあるログイン
- WEB Attack：Web 攻撃
- Malicious Source：悪意のあるダウンロード元
- Network Service Scanning：ネットワークサービススキャン
- Exploit：脆弱性を悪用した攻撃
- Network Share Discovery：ネットワーク共有の発見
- Scheduled Task：Windows の定期タスク
- BITS Jobs：BITS ジョブ
- Command-Line Interface：悪意のあるコマンド
- Mshta execution：Mshta 実行
- Regsvr32：Regsvr32 実行
- Signed Binary Proxy Execution：署名済みバイナリによるプロキシ実行
- Local Job Scheduling：Linux の定期タスク
- Rundll32：Rundll32 実行
- Web Shell：WebShell 通信
- SQL Injection：SQL インジェクション攻撃
- XSS Attack：XSS 攻撃
threat_type_desc：タグの説明。
risk_type：脅威レベル（3 = 高リスク、2 = 中リスク、1 = 疑わしい、0 = 正常、–1 = 不明）。
scenario：適用可能なセキュリティシナリオ（攻撃指標または侵害指標）。
first_find_time：タグが初めて適用された時刻。
last_find_time：タグが最後に適用された時刻。
attck_stage：関連する MITRE ATT&CK ステージ。

Scenario

当該 IP に適用可能な攻撃シナリオ。

攻撃指標：当該 IP が外部から内部への攻撃トラフィックを積極的に開始します。ファイアウォールや WAF などのセキュリティデバイスで、外部から内部への送信元としてマッチさせ、タグに基づいてブロックしてください。
侵害指標：攻撃者がスクリプトまたはマルウェアを使用して、当該 IP とコマンドおよびデータの転送を行います。トラフィックまたはログ内で当該 IP を検出した場合、ホストはすでに侵害されています。
情報データ：ホワイトリスト登録項目を含みます。このフィールドは単なる情報データであり、リスクはありません。

基本的な IP 情報で、JSON 文字列形式です。JSON のフィールドは以下のとおりです：

ip：IP アドレス
idc_name：IDC サーバー名
isp：インターネットサービスプロバイダー
country：国
province：都道府県
都市: 都市
asn：ASN（Autonomous System Number）
asn_label：ASN 名

ThreatLevel

マッチ時に生じる潜在的な被害を示す脅威レベルです。5 段階（高リスク、中リスク、低リスク、正常、不明）があります。このフィールドを Confidence と組み合わせて、対応策を決定してください。信頼度が高く高リスクと判定されたデータは遮断し、正常（ホワイトリスト）のエントリは許可してください。

–1：不明
0：正常（ホワイトリスト）—許可
1：低リスク
2：中リスク
3：高リスク

AttackCntByThreatType

MITRE ATT&CK ステージごとの攻撃回数です。このパラメーターは JSON 配列です。配列のフィールドは以下のとおりです：

event_cnt：攻撃回数。
threat_type：関連する MITRE ATT&CK ステージ。

例

{
    "Context": "",
    "Group": "",
    "Whois": "",
    "AttackCntByThreatType": [
        {
            "event_cnt": 1,
            "threat_type": "Application layer intrusion"
        }
    ],
    "ThreatLevel": -1,
    "Confidence": "",
    "Ip": {
        "country": "",
        "province": "",
        "city": "",
        "ip": "127.0.0.1",
        "isp": "",
        "asn": "",
        "asn_label": ""
    },
    "ThreatTypes": "",
    "Intelligences": [],
    "AttackPreferenceTop5": [
        {
            "event_cnt": 2407,
            "industry_name": "IoT",
            "gmt_last_attack": "2021-12-15 23:59:15"
        },
        {
            "event_cnt": 4813,
            "industry_name": "製造業",
            "gmt_last_attack": "2021-12-15 23:59:49"
        },
        {
            "event_cnt": 2240,
            "industry_name": "金融業",
            "gmt_last_attack": "2021-12-15 23:59:41"
        },
        {
            "event_cnt": 16954,
            "industry_name": "小売業",
            "gmt_last_attack": "2021-12-15 23:59:31"
        },
        {
            "event_cnt": 28764,
            "industry_name": "インターネット業界",
            "gmt_last_attack": "2021-12-15 23:59:48"
        }
    ],
    "Scenario": ""
}

ファイルタイプ

出力パラメーター

パラメーター	説明
Intelligences	脅威インテリジェンスイベントで、JSON 配列形式です。配列要素には、DDoS 攻撃型トロイの木馬、マイニングプログラム、ネットワーク層侵入、ネットワークサービススキャン、ネットワーク共有の発見、マイニングプール、エクスプロイト、ダークウェブ活動、悪意のあるログイン、悪意のあるダウンロード元、C&C サーバー、WebShell、Web 攻撃などが含まれます。
RequestI	Alibaba Cloud がこのリクエストに対して生成した一意の識別子。
FileHash	ファイルのハッシュ値。
ThreatTypes	脅威インテリジェンスおよびセキュリティイベント分析から導き出されたリスクおよびサーバータグです。このパラメーターは配列です。各要素には以下の項目が含まれます： threat_type_desc：脅威タイプ。値には、ルートキット、バックドアプログラム、疑わしいプログラム、マイニングプログラム、DDoS 攻撃型トロイの木馬、マルウェア、ワーム、疑わしいハッキングツール、トロイの木馬プログラム、悪意のあるコードを埋め込まれたベースソフトウェア、感染型ウイルス、エクスプロイトプログラム、ランサムウェア、自己変異型トロイの木馬、高リスクプログラム、ハッキングツールなどがあります。 last_find_time：最新の発見時刻。 risk_type：タグが悪意のあるものであるかどうかを示します。0 = 悪意なし、1 = 悪意あり、–1 = 不明。 threat_type：脅威タイプ。この値は配列です。配列要素には、ネットワーク層侵入、ネットワークサービススキャン、ネットワーク共有の発見、マイニングプール、エクスプロイト、ダークウェブ活動、悪意のあるログイン、悪意のあるダウンロード元、C&C サーバー、WebShell、Web 攻撃などが含まれます。
Basic	基本的なファイル情報で、JSON 文字列形式です。JSON のフィールドは以下のとおりです： md5：ファイルの MD5 ハッシュ。 sha1：ファイルの SHA1 ハッシュ。 sha256：ファイルの SHA256 ハッシュ。 sha512：ファイルの SHA512 ハッシュ。 virus_result：静的スキャン結果。0 = 正常、1 = 悪意あり、–1 = 不明。 sandbox_result：動的サンドボックス結果。0 = 正常、1 = 悪意あり、–1 = 不明。 source：ファイルのソース。有効な値は aegis のみで、Security Center による検出を意味します。
ThreatLevel	脅威レベル。 –1：不明 0：正常 1：疑わしい 2：中リスク 3：高リスク

例

{
    "Intelligences": [
        "DDoS 攻撃型トロイの木馬"
    ],
    "RequestId": "3F2BBCA2-4EE5-456F-****-DE0B69CAFD71",
    "FileHash": "02e6b7cf0d34c6eac05*****751208b",
    "ThreatTypes": [
        {
            "threat_type_desc": "DDoS 攻撃型トロイの木馬",
            "risk_type": 1,
            "threat_type": "DDoS"
        }
    ],
    "Basic": {
        "sha1": "",
        "virus_result": "1",
        "sandbox_result": "-1",
        "sha256": "",
        "sha512": "",
        "virus_name": "自己変異型トロイの木馬",
        "source": "aegis"
    },
    "ThreatLevel": "2",
    "Sandbox": ""
}

ドメインタイプ

出力パラメーター

パラメーター	説明
Intelligences	詳細な脅威インテリジェンスイベントで、JSON 配列形式です。JSON のフィールドは以下のとおりです： source：脅威インテリジェンスデータのソース。 first_find_time：イベントが初めて検出された時刻。 last_find_time：最後にアクティブだった時刻。 threat_type_l2：詳細な脅威タグ。ファミリーまたはグループタグ（例：Mykings、APT32）や攻撃手法（例：BITS ジョブ）などであり、当該ドメインへの接続に使用される手法を記述します。 threat_type：詳細タグに対応する主要な脅威カテゴリ。 refer：関連するリファレンス。
Domain	ドメイン名。
SslCert	ドメインにバインドされた SSL 証明書情報で、JSON 文字列形式です。
AttackPreferenceTop5	当該ドメインを経由して攻撃された Web サイトの上位 5 つの業界。このパラメーターは JSON 配列です。JSON のフィールドは以下のとおりです： event_cnt：攻撃回数。 industry_name：攻撃ターゲットの業界カテゴリ。 gmt_last_attack：最新の攻撃時刻。
ThreatTypes	当該ドメインに関連する詳細な脅威インテリジェンスデータで、JSON 配列形式です。各配列要素には以下の項目が含まれます： threat_type：脅威タイプ。一般的なタイプ Botnet：ボットネット Trojan（トロイの木馬） Worm：ワーム Malware：悪意のあるソフトウェア Ransomware：ランサムウェア APT：高度持続的脅威（APT）攻撃 RAT: リモートアクセス型トロイの木馬 C&C Server：コマンド・アンド・コントロールサーバー Miner Pool：マイニングプール Malicious Source：悪意のあるダウンロード元 Scheduled Task：Windows の定期タスク BITS Jobs：BITS ジョブ Command-Line Interface：悪意のあるコマンド Mshta execution：Mshta 実行 Regsvr32：Regsvr32 実行 Signed Binary Proxy Execution：署名済みバイナリによるプロキシ実行 Local Job Scheduling：Linux の定期タスク Rundll32：Rundll32 実行 threat_type_desc: タグの中国語の説明。 first_find_time：タグが初めて適用された時刻。 last_find_time：タグが最後に適用された時刻。 risk_type：タグが悪意のあるものであるかどうかを示します。0 = 悪意なし、1 = 低リスク、2 = 中リスク、3 = 高リスク、–1 = 不明。 scenario：ドメインが属するシナリオ—侵害指標または攻撃指標。 attck_stage：関連する MITRE ATT&CK ステージ。
Confidence	判定結果に対する信頼度です。信頼度の値が高いほど、結果（ThreatLevel フィールドで示される）に対する確信度が高くなります。信頼度が 90 を超える結果は、一般的に正確であると見なされます。脅威レベルおよび信頼度がともに高い指標は遮断対象とし、正常な結果（ThreatLevel = 0）はトラフィックを許可します。有効範囲：60–100 [90–100)：インテリジェンスは非常に信頼性が高く、遮断または許可の判断根拠として使用できます。`ThreatLevel=3` の場合は脅威リスクが高いため遮断してください。`ThreatLevel=0` の場合は正常な結果であるため許可してください。 [60–90)：インテリジェンスはある程度信頼できますが、遮断の根拠としては不十分です。通常、何らかの悪意のある行為を示すドメインに適用されます。セキュリティ分析の補足データとしてご活用ください。その他：インテリジェンス内の脅威関連情報の信頼度が低いことを示します。
ThreatLevel	マッチ時に生じる潜在的な被害を示す脅威レベルです。5 段階（高リスク、中リスク、低リスク、正常、不明）があります。このフィールドを Confidence と組み合わせて、対応策を決定してください。信頼度が高く高リスクと判定されたデータは遮断し、正常（ホワイトリスト）のエントリは許可してください。 –1：不明 0：正常（ホワイトリスト）—許可 1：低リスク 2：中リスク 3：高リスク
AttackCntByThreatType	MITRE ATT&CK ステージごとの攻撃回数です。このパラメーターは JSON 配列です。配列のフィールドは以下のとおりです： event_cnt：攻撃回数。 threat_type：関連する MITRE ATT&CK ステージ。
Whois	ドメインの Whois 情報。
RequestId	Alibaba Cloud がこのリクエストに対して生成した一意の識別子。
Scenario	当該ドメインに適用可能な攻撃シナリオ。以下のいずれか 1 つ以上の値が該当します：攻撃指標：ドメインは通常、攻撃指標になりません。侵害指標：攻撃者がスクリプトまたはマルウェアを使用して、当該ドメインとコマンドおよびデータの転送を行います。トラフィックまたはログ内で当該ドメインを検出した場合、ホストはすでに侵害されています。これは、侵害後の C2 通信を表します。情報データ：ホワイトリスト登録項目を含みます。このフィールドは単なる情報データであり、リスクはありません。
Basic	基本的なドメイン情報で、JSON オブジェクト形式です。フィールドは以下のとおりです： domain：ドメイン名 sld_domain：第 2 レベルドメイン（SLD） reg_date：ドメイン登録日 expire_date：ドメイン有効期限 child_domain_cnt：サブドメイン数 malicious_child_domain_cnt：悪意のあるサブドメイン数 ip_cnt：過去 1 年間に当該ドメインが解決した IP アドレス数 malicious_ip_cnt：過去 1 年間に当該ドメインが解決した悪意のある IP アドレス数

例

{
    "Intelligences": [
        {
            "last_find_time": "2020-06-17 03:54:23",
            "threat_type_l2": "悪意のあるダウンロード元",
            "first_find_time": "2020-01-01 00:59:52",
            "source": "aliyun"
        },
        {
            "last_find_time": "2020-11-10 14:45:12",
            "threat_type_l2": "rexxx.exe による悪意のあるファイル実行",
            "first_find_time": "2017-09-22 11:15:00",
            "source": "aliyun"
        }
    ],
    "Domain": "example.com",
    "SslCert": {
        "serial_number": "183954751680****4",
        "validity_end": "2029-12-02 06:00:31",
        "issuer": "example.ca"
    },
    "AttackPreferenceTop5": "[{\"event_cnt\":586,\"industry_name\":\"ゲーム業界\",\"gmt_last_attack\":\"2020-06-14 21:54:04\"}]",
    "ThreatTypes": [
        {
            "threat_type_desc": "悪意のあるダウンロード元",
            "last_find_time": "2020-06-17 03:54:23",
            "risk_type": 3,
            "scenario": "侵害指標",
            "threat_type": "悪意のあるダウンロード元",
            "first_find_time": "2020-01-01 00:59:52",
            "attck_stage": "delivery"
        },
        {
            "threat_type_desc": "Regsvr32 実行",
            "last_find_time": "2020-11-10 14:45:12",
            "risk_type": 3,
            "scenario": "侵害指標",
            "threat_type": "Regsvr32",
            "first_find_time": "2017-09-22 11:15:00",
            "attck_stage": "defense evasion"
        }
    ],
    "Confidence": "95",
    "ThreatLevel": "2",
    "AttackCntByThreatType": {
        "event_cnt": 27,
        "threat_type": "ネットワーク層侵入"
    },
    "Context": "",
    "Whois": {
        "registrant_phone": "",
        "registrar": "XX 技術有限公司",
        "registrar_url": "",
        "whois_server": "whois.cnnic.cn",
        "admin_phone": "",
        "registrar_phone": "",
        "registrant_email": "",
        "admin_email": "",
        "admin_organization": "",
        "tech_name": "",
        "registrant_city": "",
        "tech_street": "",
        "tech_phone": "",
        "dnssec": "unsigned",
        "admin_province": "",
        "tech_organization": "",
        "registrant_country": "",
        "admin_city": "",
        "registrant_province": "",
        "admin_street": "",
        "tech_email": "",
        "nameservers": "ns4.myhostadmin.net,ns1.myhostadmin.net,ns2.myhostadmin.net,ns3.myhostadmin.net,ns5.myhostadmin.net,ns6.myhostadmin.net",
        "registrar_email": "",
        "domain_status": "ok",
        "domain": "example.com",
        "tech_city": "",
        "registrant_name": "",
        "registrant_organization": "",
        "tech_country": "",
        "registrant_street": "",
        "admin_name": "",
        "tech_province": "",
        "admin_country": ""
    },
    "RequestId": "718747A4-9A75-4130-88F9-C9B47350B7F5",
    "Scenario": "侵害指標",
    "Basic": {
        "ip_cnt": "36",
        "domain": "example.com",
        "child_domain_cnt": "18",
        "sld_domain": "example.com",
        "malicious_ip_cnt": "28",
        "malicious_child_domain_cnt": "4"
    },
    "Group": ""
}