微步在线云API
我的API

选择合适的API

快速导航
威胁判定和处置

适用场景:

办公网终端/生产网及DMZ区服务器的威胁发现和失陷检测(出站威胁检测)、Web/邮件/SSH等公网开放应用或者服务的入站访问IP的风险识别(入站威胁检测)。出、入站场景精准检测,告警降噪和自动化处置。

匹配接口:

  1. IP信誉

    针对入站场景的IP进行分析, 能够提供IP的地理位置、ASN信息,通过判定规则精准判别IP是否恶意、风险严重级别、可信度级别;识别威胁类型,如:漏洞利用(exploit)、傀儡机(Zombie)等及相关安全事件或团伙标签。

    接入数据要求:入站访问的IP。

    情报标签检出:作为入站精准检测的接口,只会检出入站相关的标签,辅助告警降噪和自动化处置。

    能否批量查询:可以,每次最多100个。

  2. 失陷检测

    针对办公网/生产网等对外访问场景的IP/域名进行分析, 通过判定规则精准判别IP/域名是否恶意、风险严重级别、可信度级别;准确识别远控(C2)、恶意软件(Malware)、矿池威胁,提供相关安全事件或团伙标签等。

    接入数据要求:出站外联的IP或域名(IP可带端口查询)。

    情报标签检出:作为失陷精准检测的接口,只会检出失陷相关的标签,辅助告警降噪和自动化处置。

    能否批量查询:可以,每次最多100个。

  3. 域名上下文

    针对通过失陷检测发现的失陷主机及相关情报,可以通过此接口查询详细的上下文,包括情报恶意的证据、情报的关联攻击链、详细的处置建议以及关联样本等信息,更好的辅助企业快速、自动的处置威胁,缩短威胁响应时间。

情报分析

适用场景:

对SOC/SIEM已经收集的各类日志数据进行分析,增强对相关日志数据的威胁发现和检测能力;结合威胁情报数据,还可以对WAF/IPS/NGFW等告警日志进行自动化的分析研判,告警分级处置,提高运营效率。

匹配接口:

  1. IP分析

    可针对业务日志,以及从防火墙、WAF等安防设备中获取的外部IP ,进行分析。获取IP相关地理位置、ASN信息,综合判定威胁类型如:远控(C2)、傀儡机(Zombie)、失陷主机(Compromised)、扫描(Scanner)、钓鱼(Phishing)等,相关攻击团伙或安全事件标签,原始情报,相关样本信息等。

    接入数据要求:无。

    情报标签检出:全情报类型检出,不区分出、入站。

  2. 域名分析

    可针对从内部 DNS 或某些 NGFW 中提取的域名进行分析。获取域名对应的IP地址,当前Whois,综合判定威胁类型如:远控(C2)、恶意软件(Malware)、钓鱼(Phishing)等,相关攻击团伙或安全事件标签,原始情报,相关样本信息等。

    接入数据要求:无。

    情报标签检出:全情报类型检出,不区分出、入站。

文件检测

适用场景:

终端/服务器的可疑文件/进程的是否属于恶意程序的分析识别。

通过微步在线云沙箱的分析能力,对办公终端、Web/FTP/邮件附件等恶意文件进行自动化的多引擎、沙箱分析,发现相关文件是否属于木马、RAT、勒索、挖矿、黑客工具等恶意文件,并进一步提供关于该文件的多引擎、静态、动态行为分析报告。

匹配接口:

  1. 提交文件分析

    针对办公终端、Web/FTP/邮件附件等疑似恶意文件,终端/服务器的可疑文件等,通过 20+ 款反病毒扫描引擎快速检测,并根据不同文件类型,系统自动选择可运行的沙箱环境进行动态检测。

    适用于:文件样本在云沙箱还没有分析过,需要新分析。

  2. 文件信誉报告

    获取文件详细的静态分析&动态分析报告,包括文件的概要信息、网络行为、行为签名、静态信息、释放行为、进程行为、反病毒扫描引擎检测结果。

    适用于:客户想要获取最全的、完整的文件检测结果。

URL检测

适用场景:

邮件和访问站点等URL风险识别。通过URL/域名黑名单服务对任意 URL 进行检测发现钓鱼攻击等。

匹配接口:

  1. 提交URL分析

    通过 11 款URL扫描引擎和 URL/域名黑名单服务对任意 URL 进行检测,同时对 URL 下载的文件进行分析,生成URL扫描分析报告。

    适用于:URL在云沙箱还没有分析过,需要新分析。

  2. URL信誉报告

    获取 URL 扫描引擎检测结果,以及下载文件的分析结果。

情报拓线分析

适用场景:

对关注的域名、IP相关的关联资产进行拓线分析。发现更多攻击团伙攻击资产或身份,辅助企业进行自有资产梳理。

匹配接口:

IP高级查询域名高级查询子域名查询

通过排DNS、子域名等数据对于攻击事件中的域名、IP通过拓线分析,获得更多背后攻击团伙的攻击资产,结合whois等数据,进行溯源,得到背后攻击者的个人身份或者虚拟身份。对于企业自有的IP、域名,通过拓线,得到更多的企业域名、子域名、IP的资产,实现资产发现、收集、管理的目的。

漏洞运营

适用场景:

适用于最新漏洞预警、新漏洞影响排查、漏洞修复优先级判断。实现漏洞的快速评估和精准修复。

匹配接口:

  1. 漏洞情报

    支持通过条件组合查询漏洞情报信息,可查范围包括漏洞基础信息、漏洞影响厂商/产品、修复方案、补丁、CVSS评价、微步漏洞分析师研判后的漏洞风险评估分值及详情、PoC信息、漏洞深度分析信息等。

  2. 产品漏洞匹配

    通过"厂商产品匹配"功能,利用"匹配成功"的映射关系,聚合相关厂商产品的漏洞,帮助全面、及时的了解"与我相关"的漏洞信息。

智能安全问答

适用场景:

将XGPT集成到企业内部IM系统,嵌入日常工作流,可简化复杂问题的查询流程,减少信息整合消耗时间,提升工作效率。

匹配接口:

XGPT

XGPT 是微步自研的网络安全大模型,融合了微步丰富的情报库与安全知识库,专为网络安全场景优化,提供智能威胁分析、处置建议和深度安全洞见。

云API是北京微步在线科技有限公司旗下产品了解微步在线《用户服务条款》《数据保护政策》联系我们:api@threatbook.cn
Copyright © ThreatBook.CN All Rights Reserved. 京ICP备15044984号-4 北京微步在线科技有限公司 京公网安备11010802025715号