AliyunThreatIntelligence組件主要提供查詢阿里雲威脅情報功能。
功能描述
動作 | 描述 | 使用情境 |
describeInformation | 查詢阿里雲威脅情報。 | 查詢IP、檔案等是否為惡意。 |
組件配置樣本
本文提供了ThreatIntelligence組件各動作的參數配置樣本,您可將其作為測試劇本匯入。通過可視化流程編輯器,能更直觀地瞭解和測試各動作的配置參數,輕鬆掌握組件的功能邏輯與使用方式。操作步驟可參考劇本匯入。
請先將樣本資料儲存為JSON檔案。
參數說明
參數 | 描述 |
entityType | 情報的類型,支援ip、file、domain。 |
entityValue |
|
輸出樣本
IP類型
輸出參數
參數 | 描述 |
Intelligences | 威脅情報事件資訊,類型為JSON字串。該參數JSON欄位含義如下:
|
Whois | IP 的 Whois 資訊。 |
RequestId | 阿里雲為此次調用請求產生的唯一識別碼。 |
AttackPreferenceTop5 | 該 IP 攻擊目標的 Top 5 行業分布。
|
Confidence | 對判定結果的置信程度。信賴度值越高,說明對判定結果(判定結果是 ThreatLevel 欄位)越有信心。通常認為信賴度大於 90 的結果可以作為精準結果,對於惡意的高威脅等級的指標可以進行攔截。對於正常(ThreatLevel 等於 0)的結果可以允許存取。 取值範圍 0-100:
|
ThreatTypes | 從威脅情報、安全事件分析出來的風險標籤,例如遠端控制、惡意軟體等。該參數類型為JSON字串,JSON欄位含義如下:
|
Scenario | 該 IP 所適用的攻擊情境。
|
Ip | IP 的基礎資訊,該參數類型為JSON字串。JSON欄位含義如下:
|
ThreatLevel | 威脅等級,命中以後造成的危害等級,等級分為高危、中危、低危、正常和未知五個等級。使用的時候可以結合信賴度(Confidence 欄位)進行判斷,對高危且高信賴度的資料進行攔截。對於正常(即白名單)的類型可以進行允許存取。
|
AttackCntByThreatType | 不同攻擊階段的攻擊次數。該參數使用 JSON 數組表示,數組中的欄位含義說明如下:
|
樣本
{
"Context": "",
"Group": "",
"Whois": "",
"AttackCntByThreatType": [
{
"event_cnt": 1,
"threat_type": "應用程式層入侵"
}
],
"ThreatLevel": -1,
"Confidence": "",
"Ip": {
"country": "",
"province": "",
"city": "",
"ip": "127.0.0.1",
"isp": "",
"asn": "",
"asn_label": ""
},
"ThreatTypes": "",
"Intelligences": [],
"AttackPreferenceTop5": [
{
"event_cnt": 2407,
"industry_name": "物聯網",
"gmt_last_attack": "2021-12-15 23:59:15"
},
{
"event_cnt": 4813,
"industry_name": "製造",
"gmt_last_attack": "2021-12-15 23:59:49"
},
{
"event_cnt": 2240,
"industry_name": "金融",
"gmt_last_attack": "2021-12-15 23:59:41"
},
{
"event_cnt": 16954,
"industry_name": "零售",
"gmt_last_attack": "2021-12-15 23:59:31"
},
{
"event_cnt": 28764,
"industry_name": "互連網",
"gmt_last_attack": "2021-12-15 23:59:48"
}
],
"Scenario": ""
}file類型
輸出參數
參數 | 描述 |
Intelligences | 威脅情報事件,使用 JSON 數組表示。數組的元素取值包括 DDoS木馬、挖礦程式、網路層入侵、網路服務掃描、網際網路共用發現、礦池 、漏洞利用 、暗網、惡意登入、惡意下載源、中控、Web Shell 、Web 攻擊等。 |
RequestI | 阿里雲為此次調用請求產生的唯一識別碼。 |
FileHash | 檔案 Hash 值。 |
ThreatTypes | 從威脅情報、安全事件分析出來的風險標籤和伺服器標籤。使用數組表示,每一個數組中的取值如下:
|
Basic | 基礎資訊。該參數類型為JSON字串,JSON欄位含義如下:
|
ThreatLevel | 威脅等級。
|
樣本
{
"Intelligences": [
"DDoS木馬"
],
"RequestId": "3F2BBCA2-4EE5-456F-****-DE0B69CAFD71",
"FileHash": "02e6b7cf0d34c6eac05*****751208b",
"ThreatTypes": [
{
"threat_type_desc": "DDoS木馬",
"risk_type": 1,
"threat_type": "DDoS"
}
],
"Basic": {
"sha1": "",
"virus_result": "1",
"sandbox_result": "-1",
"sha256": "",
"sha512": "",
"virus_name": "自變異木馬",
"source": "aegis"
},
"ThreatLevel": "2",
"Sandbox": ""
}domain類型
輸出參數
參數 | 描述 |
Intelligences | 詳細的威脅情報事件。該參數使用 JSON 數組表示,JSON欄位含義如下:
|
Domain | 網域名稱。 |
SslCert | 網域名稱綁定的 SSL 憑證資訊,使用 JSON 串表示。 |
AttackPreferenceTop5 | 被攻擊的網站所屬的 Top 5 行業。使用 JSON 數組表示,JSON欄位含義如下:
|
ThreatTypes | 該網域名稱相關的詳細威脅情報資料,使用 JSON 數組表示,每一個數組的欄位含義如下:
|
Confidence | 對判定結果的置信程度,信賴度值越高,說明判定結果(判定結果是 ThreatLevel 欄位)越可信。通常認為信賴度大於 90 的結果可以作為精準結果,對於惡意的高威脅等級的指標可以進行攔截。對於正常(ThreatLevel 等於 0)的結果可以允許存取。 取值範圍 60-100:
|
ThreatLevel | 威脅等級,命中以後造成的危害等級,惡意的等級有高危、中危、低危、正常和未知五個等級。使用的時候可以結合信賴度(Confidence 欄位)來使用,對高危且高信賴度的資料進行攔截。對於正常(即白名單)的類型可以進行允許存取。
|
AttackCntByThreatType | 不同攻擊階段的攻擊次數。該參數使用 JSON 數組表示,數組中的欄位含義說明如下:
|
Whois | 網域名稱的 Whois 資訊。 |
RequestId | 阿里雲為此次調用請求產生的唯一識別碼。 |
Scenario | 該網域名稱所適用的攻擊情境。可以取以下的一個或者多個值:
|
Basic | 網域名稱的基礎資訊,該參數使用 JSON 格式表示,欄位含義如下:
|
樣本
{
"Intelligences": [
{
"last_find_time": "2020-06-17 03:54:23",
"threat_type_l2": "惡意下載源",
"first_find_time": "2020-01-01 00:59:52",
"source": "aliyun"
},
{
"last_find_time": "2020-11-10 14:45:12",
"threat_type_l2": "rexxx.exe執行惡意檔案",
"first_find_time": "2017-09-22 11:15:00",
"source": "aliyun"
}
],
"Domain": "example.com",
"SslCert": {
"serial_number": "183954751680****4",
"validity_end": "2029-12-02 06:00:31",
"issuer": "example.ca"
},
"AttackPreferenceTop5": "[{\"event_cnt\":586,\"industry_name\":\"Gaming\",\"gmt_last_attack\":\"2020-06-14 21:54:04\"}]",
"ThreatTypes": [
{
"threat_type_desc": "惡意下載源",
"last_find_time": "2020-06-17 03:54:23",
"risk_type": 3,
"scenario": "失陷指標",
"threat_type": "Malicious Source",
"first_find_time": "2020-01-01 00:59:52",
"attck_stage": "delivery"
},
{
"threat_type_desc": "Regsvr32執行",
"last_find_time": "2020-11-10 14:45:12",
"risk_type": 3,
"scenario": "失陷指標",
"threat_type": "Regsvr32",
"first_find_time": "2017-09-22 11:15:00",
"attck_stage": "defense evasion"
}
],
"Confidence": "95",
"ThreatLevel": "2",
"AttackCntByThreatType": {
"event_cnt": 27,
"threat_type": "網路層入侵"
},
"Context": "",
"Whois": {
"registrant_phone": "",
"registrar": "xx科技有限公司",
"registrar_url": "",
"whois_server": "whois.cnnic.cn",
"admin_phone": "",
"registrar_phone": "",
"registrant_email": "",
"admin_email": "",
"admin_organization": "",
"tech_name": "",
"registrant_city": "",
"tech_street": "",
"tech_phone": "",
"dnssec": "unsigned",
"admin_province": "",
"tech_organization": "",
"registrant_country": "",
"admin_city": "",
"registrant_province": "",
"admin_street": "",
"tech_email": "",
"nameservers": "ns4.myhostadmin.net,ns1.myhostadmin.net,ns2.myhostadmin.net,ns3.myhostadmin.net,ns5.myhostadmin.net,ns6.myhostadmin.net",
"registrar_email": "",
"domain_status": "ok",
"domain": "example.com",
"tech_city": "",
"registrant_name": "",
"registrant_organization": "",
"tech_country": "",
"registrant_street": "",
"admin_name": "",
"tech_province": "",
"admin_country": ""
},
"RequestId": "718747A4-9A75-4130-88F9-C9B47350B7F5",
"Scenario": "失陷指標",
"Basic": {
"ip_cnt": "36",
"domain": "example.com",
"child_domain_cnt": "18",
"sld_domain": "example.com",
"malicious_ip_cnt": "28",
"malicious_child_domain_cnt": "4"
},
"Group": ""
}