すべてのプロダクト
Search

このプロダクト

    Security Center:脅威インテリジェンスコンポーネント

    ドキュメントセンター

    Security Center:脅威インテリジェンスコンポーネント

    最終更新日:Jul 19, 2025

    ThreatIntelligence コンポーネントを使用すると、Alibaba Cloud 脅威インテリジェンスをクエリできます。

    機能説明

    操作

    説明

    シナリオ

    describeInformation

    Alibaba Cloud 脅威インテリジェンスをクエリします。

    IP アドレスまたはファイルが悪意のあるものかどうかを確認します。

    コンポーネント構成例

    このトピックでは、ThreatIntelligence コンポーネントの各操作のパラメーター構成例を提供します。テスト プレイブックとしてインポートできます。ビジュアルフローエディターを使用すると、各操作の構成パラメーターをより直感的に理解してテストし、コンポーネントの機能ロジックと使用方法を簡単に習得できます。手順については、「プレイブックのインポート」をご参照ください。

    説明

    最初に、サンプルデータを JSON ファイルとして保存します。

    サンプルデータ

    {
    "cells": [
        {
            // プレイブック開始ノード。プレイブックには開始ノードが 1 つだけ必要です。プレイブックの入力データ構成が必要です。
            "data": {
                "description": "Playbook start node. A playbook must have one and only one start node, which requires input data configuration for the playbook."
            }
        }
    ]
}

    describeInformation

    パラメーターの説明

    パラメーター

    説明

    entityType

    インテリジェンスの種類。ip、file、domain をサポートしています。

    entityValue

    • entityType が ip の場合は、クエリする IP アドレスを入力します。値の例: 192.0.XX.XX

    • entityType が file の場合は、ファイルハッシュ (MD5 値) を入力します。値の例: b4208cc50cb***0f82a47d***fde4312a

    • entityType が domain の場合は、クエリするドメイン名を入力します。ワイルドカードドメインをサポートしています。値の例: example.com

    出力例

    IP タイプ

    出力パラメーターの説明:

    パラメーター

    説明

    Intelligences

    脅威インテリジェンスイベント情報。JSON 文字列です。次の表に、JSON 値のフィールドを示します。

    • source: 脅威インテリジェンスイベントのソース。

    • first_find_time: イベントが最初に発見された日時。

    • last_find_time: 最後にアクティブになった日時。

    • threat_type_l2: 詳細な脅威インテリジェンスタグ。Mykings などのファミリーグループタグ、または SQL インジェクションなどの攻撃方法で、この IP の基本的な脅威タグを説明します。

    Whois

    IP アドレスの Whois 情報。

    RequestId

    Alibaba Cloud がこのリクエストに対して生成する一意の識別子。

    AttackPreferenceTop5

    この IP の攻撃対象の上位 5 つの業界分布。

    • event_cnt: 攻撃回数。

    • industry_name: 攻撃の業界カテゴリ。

    • gmt_last_attack: 攻撃の最終アクティブ日時。

    Confidence

    判定結果の信頼度。信頼値が高いほど、判定結果 (判定結果は ThreatLevel フィールド) の信頼度が高くなります。一般に、信頼レベルが 90 を超える結果は正確な結果と見なすことができます。脅威レベルの高い悪意のあるインディケーターの場合は、インターセプトを実行できます。正常な結果 (ThreatLevel が 0) の場合は、トラフィックを許可できます。

    値の範囲 0 ~ 100:

    • [90-100): インテリジェンスは信頼性が高いと見なされ、インターセプトまたはトラフィック許可の基準として使用できます。ThreatLevel が高リスク (ThreatLevel=3) を示している場合は、インターセプトを実行できます。ThreatLevel が正常 (ThreatLevel=0) を示している場合は、トラフィックを許可できます。

    • [60-90): インテリジェンスはある程度信頼できると見なされますが、インターセプトインディケーターには達していません。通常、悪意のある動作がいくつかある IP アドレスです。セキュリティ分析操作の補助基準として使用できます。

    • その他: 脅威インテリジェンスの脅威関連情報の信頼レベルは低いと見なされます。

    ThreatTypes

    脅威インテリジェンスとセキュリティイベントを分析して生成されたリスクタグ (リモートコントロール、マルウェアなど)。このパラメーターは JSON 文字列です。次の表に、JSON 値のフィールドを示します。

    • threat_type: 脅威の種類。

      一般的な脅威の種類

      • IDC: IDC サーバー

      • Tor: ダークウェブ

      • Proxy: プロキシ

      • NAT: パブリック出口

      • Miner Pool: マイニングプール

      • C&C Server: コマンド&コントロールサーバー

      • Brute Force: ブルートフォース攻撃

      • Malicious Login: 悪意のあるログイン

      • WEB Attack: WEB 攻撃

      • Malicious Source: 悪意のあるダウンロードソース

      • Network Service Scanning: ネットワークサービススキャン

      • Exploit: 脆弱性エクスプロイト

      • Network Share Discovery: ネットワーク共有の発見

      • Scheduled Task: Windows スケジュールされたタスク

      • BITS Jobs: BITS タスク

      • Command-Line Interface: 悪意のあるコマンド

      • Mshta execution: Mshta 実行

      • Regsvr32: Regsvr32 実行

      • Signed Binary Proxy Execution: 署名付きバイナリプロキシ実行

      • Local Job Scheduling: Linux スケジュールされたタスク

      • Rundll32: Rundll32 実行

      • Web Shell: WebShell 通信

      • SQL Injection: SQL インジェクション攻撃

      • XSS Attack: XSS 攻撃

    • threat_type_desc: タグの意味。

    • risk_type: 脅威レベル (3: 高リスク、2: 中リスク、1: 疑わしい、0: 正常、-1: 不明)。

    • scenario: 適用可能なセキュリティシナリオ (攻撃インディケーター、侵害インディケーター)。

    • first_find_time: タグが最初にマークされた日時。

    • last_find_time: タグが最後にマークされた日時。

    • attck_stage: それが属する ATT&CK 攻撃ステージ。

    Scenario

    この IP に適用可能な攻撃シナリオ。

    • 攻撃インディケーター: この IP は積極的に攻撃トラフィックを開始し、ファイアウォールや WAF などのセキュリティデバイスで外部から内部へ積極的に開始されるソースと照合でき、タグに従ってインターセプトできます。

    • 侵害インディケーター: 攻撃者によって埋め込まれたスクリプトまたは悪意のあるコードは、この IP と通信して通信とデータ転送を行います。この IP がトラフィックまたはログで見つかった場合、現在のホストが侵害されていることを意味します。

    • 情報データ: ホワイトリストなどの種類。このフィールドは情報データであり、リスクシナリオはありません。

    Ip

    IP の基本情報。このパラメーターは JSON 文字列です。次の表に、JSON 値のフィールドを示します。

    • ip: IP アドレス

    • idc_name: IDC サーバー名

    • isp: インターネットサービスプロバイダー

    • country: 国

    • province: 都道府県

    • city: 市区町村

    • asn: ASN (自律システム番号)

    • asn_label: ASN 名

    ThreatLevel

    リスクレベル。ヒット後に発生する被害のレベルを示します。高リスク、中リスク、低リスク、正常、不明の 5 つのレベルがあります。このフィールドを使用する場合は、信頼レベル (Confidence フィールド) と組み合わせて、高リスクで信頼度の高いデータをインターセプトできます。正常なタイプ (つまり、ホワイトリスト) の場合は、トラフィックを許可できます。

    • -1: 不明

    • 0: 正常 (つまり、ホワイトリスト)。トラフィックを許可できます。

    • 1: 低リスク

    • 2: 中リスク

    • 3: 高リスク

    AttackCntByThreatType

    さまざまな攻撃ステージでの攻撃回数。このパラメーターは JSON 配列として表されます。次の表に、配列のフィールドを示します。

    • event_cnt: 攻撃回数。

    • threat_type: 攻撃が属する ATT&CK ステージ。

    出力例:

    {
    "Context": "",
    "Group": "",
    "Whois": "",
    "AttackCntByThreatType": [
        {
            "event_cnt": 1,
            "threat_type": "Application layer intrusion" // アプリケーション層侵入
        }
    ],
    "ThreatLevel": -1, // 脅威レベル
    "Confidence": "", // 信頼度
    "Ip": {
        "country": "", // 国
        "province": "", // 省
        "city": "", // 市
        "ip": "127.0.0.1", // IPアドレス
        "isp": "", // インターネットサービスプロバイダー
        "asn": "", // ASN
        "asn_label": "" // ASNラベル
    },
    "ThreatTypes": "", // 脅威タイプ
    "Intelligences": [], // インテリジェンス
    "AttackPreferenceTop5": [
        {
            "event_cnt": 2407, // イベント数
            "industry_name": "IoT", // 業界名
            "gmt_last_attack": "2021-12-15 23:59:15" // 最後の攻撃日時
        }
    ],
    "Scenario": "" // シナリオ
}

    ファイルタイプ

    出力パラメーターの説明:

    パラメーター

    説明

    Intelligences

    脅威インテリジェンスイベント。JSON 配列です。配列の要素は、DDoS トロイの木馬、マイニング プログラム、ネットワーク層侵入、ネットワークサービススキャン、ネットワーク共有と発見、マイニングプール、エクスプロイト、ダークウェブ、悪意のあるログイン、悪意のあるダウンロードソース、C&C サーバー、Web シェル、Web 攻撃などです。

    RequestI

    Alibaba Cloud がこのリクエストに対して生成する一意の識別子。

    FileHash

    ファイルハッシュ値。

    ThreatTypes

    脅威インテリジェンスとセキュリティイベントを分析して生成されたリスクタグとサーバタグ。このパラメーターは配列として表されます。各配列要素には次の値があります。

    • threat_type_desc: 脅威の種類。値には、ルートキット、バックドア プログラム、疑わしいプログラム、マイニング プログラム、DDoS トロイの木馬、マルウェア、ワーム、疑わしいハッキングツール トロイの木馬プログラム、汚染された基本ソフトウェア (悪意のあるコードが埋め込まれている)、感染性ウイルス、エクスプロイト プログラム、ランサムウェア、自己変異型トロイの木馬、高リスク プログラム、ハッキングツールが含まれます。

    • last_find_time: 最新の発見日時。

    • risk_type: 悪意のあるタグかどうかを示します。0 は悪意のないタグ、1 は悪意のあるタグ、-1 は不明を示します。

    • threat_type: 脅威の種類。値は配列です。配列の要素は、ネットワーク層侵入、ネットワークサービススキャン、ネットワーク共有と発見、マイニングプール、エクスプロイト、ダークウェブ、悪意のあるログイン、悪意のあるダウンロードソース、C&C サーバー、Web シェル、Web 攻撃などです。

    Basic

    基本情報。このパラメーターは JSON 文字列です。次の表に、JSON 値のフィールドを示します。

    • md5: ファイルの MD5 値。

    • sha1: ファイルの SHA1 値。

    • sha256: ファイルの SHA256 値。

    • sha512: ファイルの SHA512 値。

    • virus_result: ファイルの静的スキャン結果。0 は正常、1 は悪意のあるもの、-1 は不明を示します。

    • sandbox_result: ファイルの動的サンドボックス実行結果。0 は正常、1 は悪意のあるもの、-1 は不明を示します。

    • source: ファイルのソース。唯一の値は aegis で、ファイルが Security Center によって検出されたことを示します。

    ThreatLevel

    リスクレベル。

    • -1: 不明

    • 0: 正常

    • 1: 疑わしい

    • 2: 中リスク

    • 3: 高リスク

    出力例:

    {
    "Intelligences": [
        "DDoS Trojan" // DDoS トロイの木馬
    ],
    "RequestId": "3F2BBCA2-4EE5-456F-****-DE0B69CAFD71",
    "FileHash": "02e6b7cf0d34c6eac05*****751208b",
    "ThreatTypes": [
        {
            "threat_type_desc": "DDoS Trojan", // DDoS トロイの木馬
            "risk_type": 1,
            "threat_type": "DDoS"
        }
    ],
    "Basic": {
        "sha1": "",
        "virus_result": "1",
        "sandbox_result": "-1",
        "sha256": "",
        "sha512": "",
        "virus_name": "Self-mutating Trojan", // 自己変異型トロイの木馬
        "source": "aegis"
    },
    "ThreatLevel": "2",
    "Sandbox": ""
}

    ドメインタイプ

    出力パラメーターの説明:

    パラメーター

    説明

    Intelligences

    詳細な脅威インテリジェンスイベント。JSON 配列として表されます。次の表に、JSON 値のフィールドを示します。

    • source: 脅威インテリジェンスデータのソース。

    • first_find_time: イベントが最初に発見された日時。

    • last_find_time: 最後にアクティブになった日時。

    • threat_type_l2: 詳細な脅威インテリジェンスタグ。mykings、apt32 などのファミリーグループタグ、または bits job などの攻撃方法で、ドメインへの接続に使用された方法を説明します。

    • threat_type: 詳細な脅威インテリジェンスタグに対応するプライマリタグ。脅威の主要な分類タグです。

    • refer: 関連する参考文献。

    Domain

    ドメイン名。

    SslCert

    ドメイン名にバインドされている SSL 証明書情報。JSON 文字列として表されます。

    AttackPreferenceTop5

    攻撃された Web サイトが属する上位 5 つの業界。このパラメーターは JSON 配列として表されます。次の表に、JSON 値のフィールドを示します。

    • event_cnt: 攻撃回数。

    • industry_name: 攻撃の業界カテゴリ。

    • gmt_last_attack: 攻撃の最終アクティブ日時。

    ThreatTypes

    このドメイン名に関連する詳細な脅威インテリジェンスデータ。JSON 配列として表されます。次の表に、各配列要素のフィールドを示します。

    • threat_type: 脅威の種類。

      一般的な種類

      • Botnet: ボットネット

      • Trojan: トロイの木馬

      • Worm: ワーム

      • Malware: マルウェア

      • Ransomware: ランサムウェア

      • APT: 標的型攻撃

      • RAT: リモートコントロール

      • C&C Server: コマンド&コントロールサーバー

      • Miner Pool: マイニングプール

      • Malicious Source: 悪意のあるダウンロードソース

      • Scheduled Task: Windows スケジュールされたタスク

      • BITS Jobs: BITS タスク

      • Command-Line Interface: 悪意のあるコマンド

      • Mshta execution: Mshta 実行

      • Regsvr32: Regsvr32 実行

      • Signed Binary Proxy Execution: 署名付きバイナリプロキシ実行

      • Local Job Scheduling: Linux スケジュールされたタスク

      • Rundll32: Rundll32 実行

    • threat_type_desc: タグの中国語の説明。

    • first_find_time: タグが最初にマークされた日時。

    • last_find_time: タグが最後にマークされた日時。

    • risk_type: 悪意のあるタグかどうかを示します。0 は悪意のないタグ、1 は低リスクタグ、2 は中リスクタグ、3 は高リスクタグ、-1 は不明を示します。

    • scenario: ドメイン名が属するシナリオ。侵害インディケーターまたは攻撃インディケーターのいずれか。

    • attck_stage: 悪意のある動作が属する ATT&CK 攻撃ステージ。

    Confidence

    判定結果の信頼度。信頼値が高いほど、判定結果 (判定結果は ThreatLevel フィールド) の信頼度が高くなります。一般に、信頼レベルが 90 を超える結果は正確な結果と見なすことができます。脅威レベルの高い悪意のあるインディケーターの場合は、インターセプトを実行できます。正常な結果 (ThreatLevel が 0) の場合は、トラフィックを許可できます。

    値の範囲 60 ~ 100:

    • [90-100): インテリジェンスは信頼性が高いと見なされ、インターセプトまたはトラフィック許可の基準として使用できます。ThreatLevel が高リスク (ThreatLevel=3) を示している場合は、インターセプトを実行できます。ThreatLevel が正常 (ThreatLevel=0) を示している場合は、トラフィックを許可できます。

    • [60-90): インテリジェンスはある程度信頼できると見なされますが、インターセプトインディケーターには達していません。通常、悪意のある動作がいくつかあるドメイン名です。セキュリティ分析操作の補助基準として使用できます。

    • その他: 脅威インテリジェンスの脅威関連情報の信頼レベルは低いと見なされます。

    ThreatLevel

    リスクレベル。ヒット後に発生する被害のレベルを示します。高リスク、中リスク、低リスク、正常、不明の 5 つの悪意レベルがあります。このフィールドを使用する場合は、信頼レベル (Confidence フィールド) と組み合わせて、高リスクで信頼度の高いデータをインターセプトできます。正常なタイプ (つまり、ホワイトリスト) の場合は、トラフィックを許可できます。

    • -1: 不明

    • 0: 正常 (つまり、ホワイトリスト)。トラフィックを許可できます。

    • 1: 低リスク

    • 2: 中リスク

    • 3: 高リスク

    AttackCntByThreatType

    さまざまな攻撃ステージでの攻撃回数。このパラメーターは JSON 配列として表されます。次の表に、配列のフィールドを示します。

    • event_cnt: 攻撃回数。

    • threat_type: 攻撃が属する ATT&CK ステージ。

    Whois

    ドメイン名の Whois 情報。

    RequestId

    Alibaba Cloud がこのリクエストに対して生成する一意の識別子。

    Scenario

    このドメイン名に適用可能な攻撃シナリオ。次の値の 1 つ以上を取ることができます。

    • 攻撃インディケーター: ドメイン名は通常、攻撃インディケーターではありません。

    • 侵害インディケーター: 攻撃者によって埋め込まれたスクリプトまたは悪意のあるコードは、このドメイン名と通信して通信とデータ転送を行います。このドメイン名がトラフィックまたはログで見つかった場合、現在のホストが侵害されていることを意味します。侵害後の C2 接続の外部接続。

    • 情報データ: ホワイトリストなどの種類。このフィールドは情報データであり、リスクシナリオはありません。

    Basic

    ドメイン名の基本情報。このパラメーターは JSON 形式で表されます。次の表に、フィールドを示します。

    • domain: ドメイン名

    • sld_domain: SLD ドメイン名

    • reg_date: ドメイン登録日時

    • expire_date: ドメイン有効期限

    • child_domain_cnt: サブドメインの数

    • malicious_child_domain_cnt: 悪意のあるサブドメインの数

    • ip_cnt: 過去 1 年間にこのドメイン名に対して解決された IP の数

    • malicious_ip_cnt: 過去 1 年間にこのドメイン名に対して解決された IP のうち、悪意のある IP の数

    出力例:

    {
    "Intelligences": [
        {
            "last_find_time": "2020-06-17 03:54:23", // 最終発見日時
            "threat_type_l2": "Malicious download source", // 悪意のあるダウンロードソース
            "first_find_time": "2020-01-01 00:59:52", // 初回発見日時
            "source": "aliyun" // ソース
        }
    ],
    "Domain": "example.com", // ドメイン
    "SslCert": {
        "serial_number": "183954751680****4", // シリアル番号
        "validity_end": "2029-12-02 06:00:31", // 有効期限
        "issuer": "example.ca" // 発行者
    },
    "AttackPreferenceTop5": "[{\"event_cnt\":586,\"industry_name\":\"Gaming\",\"gmt_last_attack\":\"2020-06-14 21:54:04\"}]", // 攻撃対象の上位5業界
    "ThreatTypes": [
        {
            "threat_type_desc": "Malicious download source", // 悪意のあるダウンロードソース
            "last_find_time": "2020-06-17 03:54:23", // 最終発見日時
            "risk_type": 3, // リスクタイプ
            "scenario": "Compromise indicator", // 侵害インディケーター
            "threat_type": "Malicious Source", // 悪意のあるソース
            "first_find_time": "2020-01-01 00:59:52", // 初回発見日時
            "attck_stage": "delivery" // ATT&CKステージ
        }
    ],
    "Confidence": "95", // 信頼度
    "ThreatLevel": "2", // 脅威レベル
    "AttackCntByThreatType": {
        "event_cnt": 27, // イベント数
        "threat_type": "Network Layer intrusion" // ネットワーク層侵入
    },
    "Context": "", // コンテキスト
    "Whois": {
        "registrant_phone": "", // 登録者電話番号
        "registrar": "XX Technology Co., Ltd.", // 登録機関
        "registrar_url": "", // 登録機関URL
        "whois_server": "whois.cnnic.cn", // Whoisサーバー
        "admin_phone": "", // 管理者電話番号
        "registrar_phone": "", // 登録機関電話番号
        "registrant_email": "", // 登録者メールアドレス
        "admin_email": "", // 管理者メールアドレス
        "admin_organization": "", // 管理組織
        "tech_name": "", // 技術担当者名
        "registrant_city": "", // 登録者市区町村
        "tech_street": "", // 技術担当者住所
        "tech_phone": "", // 技術担当者電話番号
        "dnssec": "unsigned", // DNSSEC
        "admin_province": "", // 管理者都道府県
        "tech_organization": "", // 技術組織
        "registrant_country": "", // 登録者国
        "admin_city": "", // 管理者市区町村
        "registrant_province": "", // 登録者都道府県
        "admin_street": "", // 管理者住所
        "tech_email": "", // 技術担当者メールアドレス
        "nameservers": "ns4.myhostadmin.net,ns1.myhostadmin.net,ns2.myhostadmin.net,ns3.myhostadmin.net,ns5.myhostadmin.net,ns6.myhostadmin.net", // ネームサーバー
        "registrar_email": "", // 登録機関メールアドレス
        "domain_status": "ok", // ドメインステータス
        "domain": "example.com", // ドメイン
        "tech_city": "", // 技術担当者市区町村
        "registrant_name": "", // 登録者名
        "registrant_organization": "", // 登録組織
        "tech_country": "", // 技術担当者国
        "registrant_street": "", // 登録者住所
        "admin_name": "", // 管理者名
        "tech_province": "", // 技術担当者都道府県
        "admin_country": "" // 管理者国
    },
    "RequestId": "718747A4-9A75-4130-88F9-C9B47350B7F5", // リクエストID
    "Scenario": "Compromise indicator", // 侵害インディケーター
    "Basic": {
        "ip_cnt": "36", // IP数
        "domain": "example.com", // ドメイン
        "child_domain_cnt": "18", // 子ドメイン数
        "sld_domain": "example.com", // SLDドメイン
        "malicious_ip_cnt": "28", // 悪意のあるIP数
        "malicious_child_domain_cnt": "4" // 悪意のある子ドメイン数
    },
    "Group": "" // グループ
}