主机失陷检测
场景说明
在当今复杂的网络环境中,企业面临着日益严峻的网络安全威胁。一旦内部主机被攻击者控制,不仅可能导致数据泄露、系统瘫痪等直接损失,更有可能成为攻击者进一步渗透内网的跳板,造成更大范围的安全事故。
然而,由于攻击手法的多样性和隐蔽性,特别是在办公网、生产网等场景下,仅仅通过边界防护和传统的杀毒软件,无法准确识别所有威胁。
黑客攻击往往都会搭建服务器进行远程控制,X威胁情报技术通过提前收集威胁对应的远程服务器地址,形成IOC(失陷指标),企业通过将外连网络地址和IOC碰撞,便能快速发现失陷威胁,定位失陷主机,从而采取及时的处置措施,有效降低企业安全风险。
使用的X情报API
失陷检测API:https://x.threatbook.com/v5/apiDocs/scene/dns
核心字段
is_malicious:是否为恶意IP。true代表恶意,false代表非恶意。
judgments:威胁类型。可检出的恶意类型包括远控、安全机构接管C2、矿池、私有矿池、恶意软件。
confidence_level:恶意的可信度。
tags_classes:相关攻击团伙或安全事件信息。
具体使用方法
使用步骤说明
-
收集可疑流量日志
从网络流量、主机日志、安全设备日志中筛选出可疑的对外通信记录,例如DNS日志。
-
提取目标IP/域名
-
从可疑通信日志中提取目标IP地址或域名名称
-
如果存在负载均衡,注意提取真实的目标地址而非中间代理地址
-
调用失陷检测API进行分析
将提取的IP/域名作为请求参数进行查询,获取失陷检测判定结果,并定位失陷主机IP地址。
-
基于返回结果制定处置策略
| 命中类型 | 命中的条件 | 策略说明 |
|---|---|---|
| 高危威胁 | is_malicious=true && judgments in ("C2", "Malware") && confidence_level="high" | 发现高可信度的远控或恶意软件通信,建议立即隔离主机并启动应急响应 |
| 矿池威胁 | is_malicious=true && judgments in ("MiningPool","CoinMiner") | 发现挖矿行为,建议及时阻断通信并排查主机 |
| 潜在威胁 | is_malicious=true && judgments =Sinkhole C2 && confidence_level="high" | 存在可疑行为但可信度不高,建议持续观察并收集更多证据 |
| is_malicious=true && confidence_level in ("medium","low") |
云API是北京微步在线科技有限公司旗下产品了解微步在线《用户服务条款》《数据保护政策》
联系我们:api@threatbook.cn
联系我们:api@threatbook.cnCopyright © ThreatBook.CN All Rights Reserved. 京ICP备15044984号-4 北京微步在线科技有限公司 京公网安备11010802025715号