微步在线云API介绍
微步在线云API能够为用户提供全面的安全情报,用户可基于不同使用场景进行情报数据的调用,为安全运营、事件分析、溯源追踪、漏洞运营等工作深度赋能。
微步在线云API价值:
微步在线依赖云端建设的强大的基础数据、攻击大数据、漏洞数据采集系统,配合自主研发的多款累计数十种提取方法的核心情报生产系统,高效且自动化的生产高覆盖度、高准确度、上下文丰富的安全情报数据(包括不限于威胁情报、漏洞情报)。依托微步在线X情报社区0day漏洞奖励计划、自有产品强大的0day漏洞及漏洞在野攻击的捕获能力,微步已经构建了成熟的漏洞评估模型,能够对采集的海量漏洞数据进行精准的风险评估。
目前,微步在线安全云具备日均数百万新增域名、累计数百亿的域名基础数据、10+年PassiveDNS数据、20+年的域名历史Whois数据、日均100万新增恶意样本、累计数十亿恶意样本、全网IPv4实时测绘分析及其信誉情报、全球范围内活跃的黑客C&C情报100万余条、全网漏洞情报27万余条,并实时追踪了180余个全球范围内具有国家背景的APT组织以及大型黑产组织的最新攻击活动。通过微步在线云API可访问上述全部数据,能为各种不同类型的业务提供独特的价值:
-
SOC/SIEM大数据平台或者WAF/IPS/NGFW等安全设备的情报赋能
通过微步在线云端的威胁情报,对SOC/SIEM已经收集的各类日志数据进行分析,增强对相关日志数据的威胁发现和检测能力;结合威胁情报数据,还可以对WAF/IPS/NGFW等告警日志进行自动化的分析研判,告警分级处置,提高运营效率。
-
办公网终端/生产网及DMZ区服务器的威胁发现和失陷检测
通过微步在线掌握的黑客活跃C&C、木马下载站、矿池等情报数据,对办公终端、服务器的DNS等相关外联域名/IP进行威胁检测,发现相关终端、服务器是否已经被控,发现各类APT、远控、窃密、挖矿、勒索等威胁,并进一步提供相关攻击组织、木马家族、处置建议等。
-
终端/服务器的可疑文件/进程的是否属于恶意程序的分析识别
通过微步在线云沙箱(s.threatbook.com)的分析能力,对办公终端、Web/FTP/邮件附件等恶意文件进行自动化的多引擎、沙箱分析,发现相关文件是否属于木马、RAT、勒索、挖矿、黑客工具等恶意文件,并进一步提供关于该文件的多引擎、静态、动态行为分析报告。
-
Web/邮件/SSH等公网开放的应用或者服务的外放访问IP的风险识别
通过微步在线掌握的海量IP信誉基础信息及情报数据,对外网访问的源IP进行风险识别,发现相关IP是否属于扫描、撞库、漏洞利用、垃圾邮件、僵尸网络等风险,同时进一步提供该IP的基础信息,比如代理、VPN、网关出口、IDC、动态IP、爬虫、移动基站等。
-
内外部安全事件的关联拓线及溯源追踪
通过微步在线的基础数据和情报数据,对内外部安全事件中的域名/IP/Hash进行关联分析,通过域名的PassiveDNS以及Whois等数据,对于背后的攻击组织/个人进行拓线和溯源,发现背后攻击者的姓名、邮箱、QQ号、手机号码等真实或者虚拟身份。
-
漏洞情报赋能漏洞应急、漏洞运营体系全面提升
微步在线提供最新的漏洞情报,基于这些漏洞情报,用户可以聚焦高风险漏洞进行自动化漏洞应急响应/运营闭环。针对高风险的漏洞,微步还提供具体到代码层面的分析数据,可执行的漏洞排查、修复、规避操作,能完整应用到漏洞应急/运营的各环节。
联系我们:api@threatbook.cn