微步在线云API
我的API

失陷检测

针对办公网/生产网等对外访问场景的IP/域名进行分析, 通过判定规则精准判别IP/域名是否恶意、风险严重级别、可信度级别;准确识别远控(C2)、恶意软件(Malware)、矿池威胁,提供相关安全事件或团伙标签等。

提示:为什么失陷检测和域名分析/X页面的检出结果不一致?

  • 失陷检测接口应用于针对办公网/生产网等对外访问的分析场景,仅检出远控(C2)、恶意软件(Malware)、矿池威胁等出站场景的失陷风险。数据接入要求为出站外联的IP/域名数据。应用场景侧重情报检出的覆盖,实现自动化的告警降噪和威胁检测。
  • X的web页面查询与域名分析接口是全维度威胁情报标签检出,没有接入数据访问方向的要求(不区分出、入站),侧重当前有效情报和线索的研判、分析追踪,并提供原始情报信息。使用场景偏人工分析,进行告警研判和威胁分析。
调用脚本
调用脚本下载Run In Postman
请求方法

请求地址:https://api.threatbook.cn/v3/scene/iochttps://api.threatbook.cn/v3/scene/dns

请求方式:POSTGET

请求参数说明
序号参数名称必选类型描述
1apikeystringAPI请求的身份识别标识。
2resourcestringIP地址或域名,支持批量查询,最多100个,以逗号分隔。
IP可带端口查询,获取高可信判定结果。
请求中IP带端口格式示例:8.8.8.8:143,0.0.0.0:80
3lang可选string返回结果语言。不输入该参数时,默认返回英文。
取值二者选其一:
  • zh:所有返回结果内容中文显示。
  • en:所有返回结果内容英文显示。
4realtime_verdict可选boolean支持控制是否将历史过期情报纳入最终判定;不输入该参数时,默认包含历史过期情报。
  • true代表只返回当前有效情报
  • false代表返回包含历史过期情报。
响应参数说明
序号参数名称类型描述
1response_codeint响应正常会返回"0"。其他Response code及对应msg描述参见" 响应Code和Msg对照表"
2verbose_msgstring响应正常会返回"Ok"。其他Response code及对应msg描述参见" 响应Code和Msg对照表"
3ipsmap查询的ip地址命中情况。是一个JSON Map,key是ip(有端口带端口),value是一个JSON对象,字段说明如下:
  • is_malicious:是否为恶意IP。布尔类型,true代表恶意,false代表非恶意。
  • confidence_level:是恶意的可信度有多高,分"low(低)","medium(中)","high(高)" 三档来标识。
  • severity:严重级别。 表示该情报的危害程度,分为"critical(严重)","high(高)","medium(中)","low(低)","info(无危胁)"5种程度类型。
  • judgments:威胁类型。
    1. 若当前查询IP或域名判定为恶意IOC,则会给出综合判定的IOC所属威胁类型,失陷检测相关恶意威胁类型如下:
      • C2:远控
      • Sinkhole C2:安全机构接管C2
      • MiningPool:矿池
      • CoinMiner:私有矿池
      • Malware:恶意软件
    2. 若当前查询IP或域名非恶意,则会给出综合判定类型:
      • Whitelist:白名单
      • Info:基础信息。
        Info子类相关,参见:" 威胁类型全集"中的子类描述。
  • tags_classes:相关攻击团伙或安全事件信息,JSON数组,每个item包含字段说明如下:
    • tags_type:标签类别,如"industry(行业)"、"gangs(团伙)"、"virus_family(家族)"等
    • tags:具体的攻击团伙或安全事件标签,例如:APT、海莲花等。
  • permalink: IP对应的情报查询结果页链接
4domainsmap查询的域名命中情况。是一个JSON Map,key是域名,value是一个JSON对象,字段说明如下:
  • categories:域名分类,json对象,每一个item包含的字段说明如下:
    • first_cats:一级分类,是一个数组
    • second_cats:二级分类,是一个字符串
  • 其他字段说明同上"ips"。
5rankobject域名的排名信息,是一个JSON对象,字段说明如下:
  • alexa_rank:Alexa排名。是1个JSON对象。每个item包含如下内容:
    • global_rank:当前的Alexa全球排名,整型。排名仅统计100W以内的数据,排名超出100W,不统计,返回"-1"。
  • umbrella_rank:Umbrella排名。是1个JSON对象,每个item包含的内容同alexa_rank。
请求示例

微步在线云API支持cURL、Python、PHP、Java、Go语言的请求,以Python为例:

Python
import requests

url = "https://api.threatbook.cn/v3/scene/dns"

query = {
  "apikey":"请替换apikey",
  "resource":"zzv.no-ip.info"
}

response = requests.request("GET", url, params=query)

print(response.json())
响应示例(JSON)
{
    "response_code": 0,
    "verbose_msg": "Ok",
    "data": {
        "ips": {
            "68.183.27.172:8080": {
                "confidence_level": "high",
                "is_malicious": true,
                "severity": "medium",
                "judgments": [
                    "Malware",
                    "C2"
                ],
                "tags_classes": [{
                        "tags_type": "industry",
                        "tags": [
                            "Finance"
                        ]
                    },
                    {
                        "tags_type": "basic",
                        "tags": [
                            "APT"
                        ]
                    }
                ],
                "permalink":"https://x.threatbook.com/v5/ip/68.183.27.172"
            },
            "68.183.27.171": {
                "confidence_level": "high",
                "is_malicious": true,
                "severity": "medium",
                "judgments": [
                    "Malware",
                    "C2"
                ],
                "tags_classes": [{
                        "tags_type": "industry",
                        "tags": [
                            "Finance"
                        ]
                    },
                    {
                        "tags_type": "basic",
                        "tags": [
                            "APT"
                        ]
                    }
                ],
                "permalink":"https://x.threatbook.com/v5/ip/68.183.27.171"
            }
        },
        "domains": {
            "googlenew.moy.su": {
                "confidence": "high",
                "is_malicious": true,
                "severity": "medium",
                "judgments": [
                    "Malware",
                    "C2"
                ],
                "categories":{
                  "first_cats":["Other","Other"]
                  "second_cats":"Other"
                },
                "rank": {
                    "alexa_rank":{
                        "global_rank": 4
                    },
                    "umbrella_rank": {
                        "global_rank": -1
                    }
                },
                "tags_classes": [{
                        "tags_type": "industry",
                        "tags": [
                            "Finance"
                        ]
                    },
                    {
                        "tags_type": "basic",
                        "tags": [
                            "APT"
                        ]
                    }
                ],
                "permalink":"https://x.threatbook.com/v5/ip/googlenew.moy.su"
            },
            "xv.thotiana.live": {
                "confidence_level": "high",
                "is_malicious": true,
                "severity": "medium",
                "judgments": [
                    "Malware",
                    "C2"
                ],
                "categories":{
                    "first_cats":["Other","Other"]
                    "second_cats":"Other"
                }, 
                "rank": {
                    "alexa_rank":{
                        "global_rank": 4
                    },
                    "umbrella_rank": {
                        "global_rank": -1
                    }
                },
                "tags_classes": [{
                        "tags_type": "industry",
                        "tags": [
                            "Finance"
                        ]
                    },
                    {
                        "tags_type": "basic",
                        "tags": [
                            "APT"
                        ]
                    }
                ],
                "permalink":"https://x.threatbook.com/v5/domain/xv.thotiana.live"
            }
        }
    }
}
云API是北京微步在线科技有限公司旗下产品了解微步在线《用户服务条款》《数据保护政策》联系我们:api@threatbook.cn
Copyright © ThreatBook.CN All Rights Reserved. 京ICP备15044984号-4 北京微步在线科技有限公司 京公网安备11010802025715号