脅威インジケータの検索

• コンソール
• CLI
• API

• 1. ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」を選択します。「脅威インテリジェンス」で、「脅威インジケータ・データベース」を選択します。
  2. 「検索」リストから、検索する脅威インジケータのタイプを選択し、特定の値を入力します。
     • ドメイン名: 脅威インジケータのソース・ドメイン名を入力します。
     • ファイル名: 悪意のあるプログラムのファイル名を入力します。
     • IP address: 脅威インジケータのソースIPアドレスを入力します。
     • マルウェア: 脅威インジケータに関連付けられたマルウェアプログラムの名前を入力します。
     • MD5ハッシュ: 脅威インジケータのリクエスト・ヘッダーから生成されたMD5ハッシュを入力します。
     • SHA1ハッシュ: 脅威インジケータのリクエスト・ヘッダーから生成されたSHA1ハッシュを入力します。
     • SHA256ハッシュ: 脅威インジケータのリクエスト・ヘッダーから生成されたSHA256ハッシュを入力します。
     • 脅威アクター: 脅威インジケータに関連付けられているエンティティの名前を入力します。
     • 脅威のタイプ: 脅威のタイプを選択します。「脅威インジケータ・データベースの脅威タイプ」を参照してください。
     • URL: 脅威インジケータのソースURLを入力します。
  3. (オプション)「最終レポート日」の値を選択します。

     デフォルトでは、過去30日間に検出された脅威のみが結果に含まれます。

  4. (オプション)「信頼度スコア」で、検索する脅威インジケータの最小スコアを選択します。

     信頼度スコアは0から100の値で、この値は、そのインジケータが悪意のあるアクティビティに関連付けられている可能性があるという信頼度を示すものです。

     デフォルトでは、結果には50を超えるスコアの脅威インジケータのみが含まれます。

  5. 「検索」を選択します。
  6. (オプション)結果を特定のインジケータ・タイプに制限するには、「タイプ」で値を選択します。
  7. 脅威インジケータの詳細を表示するには、検索結果の表でインジケータを選択します。

     インジケータ詳細ページの「インジケータ履歴」領域には、この脅威インジケータが検出された日付と検出したユーザー(Oracleまたは別の脅威インテリジェンス・ソース)が表示されます。

  ヒント
  
  検索基準をリセットするには、「リセット」を選択します。

• 脅威インジケータを検索するには、次のコマンドを使用します。

  • ociの脅威インテリジェンス・インジケータ- サマリー・リスト・インジケータ - 検索パラメータに一致する脅威インジケータ・サマリーのリストを取得します
  • 社交の脅威インテリジェンス・インジケータの取得 - 特定のインジケータの詳細を取得します
  • ocireat-intelligenceのthreat-types-collection list-threat-types - インジケータをリストするときにパラメータとして使用できる脅威タイプのリストを取得します

  ノート
  
  すべての脅威インテリジェンス・リソースはテナンシ全体にスコープ指定されます。すべてのCLIコマンドのテナンシ(ルート・コンパートメント)のIDを指定します。

  CLIコマンドのフラグおよび変数オプションの完全なリストは、CLIコマンドライン・リファレンスを参照してください。

  特定のIPアドレスを持つすべてのインジケータを一覧表示します

  oci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --type IP_ADDRESS --value <indicator_IP_address>

  サポートされているインジケータ・タイプは、IP_ADDRESS、URL、DOMAIN_NAME、FILE_NAME、MD5_HASH、SHA1_HASH、SHA256_HASH、THREAT_ACTORおよびMALWAREです。

  特定の脅威タイプおよび最小信頼度スコアを持つすべてのインジケータをリストします

  oci threat-intelligence indicator-summaries list-indicators --compartment-id <root_compartment_OCID> --threat-type-name phishing --confidence-above 50

  脅威インジケータ・データベースの脅威タイプを参照するか、threat-types-collection list-threat-typesコマンドを使用します。

• 脅威インジケータを検索するには、次の操作を使用します:

  • ListIndicators - 検索パラメータに一致するすべてのインジケータのリストを取得します
  • GetIndicator - 特定のインジケータに関する詳細の取得
  • ListThreatTypes - インジケータをリストするときにパラメータとして使用できる脅威タイプのリストを取得します

  ノート
  
  すべての脅威インテリジェンス・リソースはテナンシ全体にスコープ指定されます。すべてのAPI操作のテナンシ(ルート・コンパートメント)のIDを指定します。

  特定のIPアドレスを持つすべてのインジケータを一覧表示します

  GET /20220901/indicators?compartmentId=<root_compartment_OCID>&indicatorType=IP_ADDRESS&value=<indicator_IP_address>
  Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
  <authorization and other headers>

  レスポンス:

  {
     "items": [
        {
          "confidence": 24,
          "id": "<indicator_OCID>",
          "labels": [
            "botnet"
          ],
          "timeCreated": "2021-08-10T11:04:53.680Z",
          "timeLastUpdated": "2021-09-01T13:22:41.000Z",
          "type": "IP_ADDRESS",
          "value": "<indicator_IP_address>"
        }
     ]
  }

  サポートされているインジケータ・タイプは、IP_ADDRESS、URL、DOMAIN_NAME、FILE_NAME、MD5_HASH、SHA1_HASH、SHA256_HASH、THREAT_ACTORおよびMALWAREです。

  特定の脅威タイプおよび最小信頼度スコアを持つすべてのインジケータをリストします

  GET /20220901/indicators?compartmentId=<root_compartment_OCID>&label=bruteforce&confidenceGreaterThanOrEqualTo=50
  Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
  <authorization and other headers>

  レスポンス:

  {
     "items": [
        {
          "confidence": 65,
          "id": "<indicator_OCID>",
          "labels": [
            "bruteforce"
          ],
          "timeCreated": "2021-08-10T11:04:53.680Z",
          "timeLastUpdated": "2021-09-01T13:22:41.000Z",
          "type": "IP_ADDRESS",
          "value": "<indicator_IP_address>"
        },
        {
          "confidence": 85,
          "id": "<indicator_OCID>",
          "labels": [
            "bruteforce"
          ],
          "timeCreated": "2021-08-10T11:04:53.680Z",
          "timeLastUpdated": "2021-09-01T13:22:41.000Z",
          "type": "IP_ADDRESS",
          "value": "<indicator_IP_address>"
        }
     ]
  }

  「脅威インジケータ・データベースの脅威タイプ」を参照してください。

  特定の脅威タイプおよび最小信頼度スコアを持つすべてのIPインジケータをリストします

  POST 20220901/indicators/actions/summarize?compartmentId=<root_compartment_OCID>
  Host: api-threatintel.us-ashburn-1.oci.oraclecloud.com
  <authorization and other headers>
  {
      "indicatorType": "IP_ADDRESS",
      "confidenceGreaterThanOrEqualTo": 50,
      "threatTypes": ["Criminal"]
  }

  レスポンス:

  {
    "data": {
      "items": [
        {
          "attributes": [
            {
              "name": "MaliciousConfidence",
              "value": "low"
            },
            {
              "name": "CSD",
              "value": "csa-220906"
            },
            {
              "name": "ThreatActor",
              "value": "solarspider"
            },
            {
              "name": "Malware",
              "value": "jsoutprox"
            }
          ],
          "compartmentId": "<indicator_compartment_id>",
          "confidence": 55,
          "geodata": {
            "adminDiv": "on",
            "city": "kennebrook",
            "countryCode": "ca",
            "geoId": "",
            "label": "abchost corp.",
            "latitude": "51.06",
            "longitude": "-114.09",
            "origin": "62563",
            "routedPrefix": ""
          },
          "id": "<indicator_OCID>",
          "lifecycleState": "ACTIVE",
          "threatTypes": [
            "Criminal",
            "RAT"
          ],
          "timeCreated": "2022-08-30T19:15:09.237Z",
          "timeLastSeen": "2022-08-30T19:07:13.000Z",
          "timeUpdated": "2022-09-06T07:11:23.503Z",
          "type": "IP_ADDRESS",
          "value": "<indicator_IP_address>"
        }
      ]
    },
    "headers": {
      "Content-Length": "1091",
      "Content-Type": "application/json",
      "Date": "Fri, 09 Sep 2022 14:46:07 GMT",
      "X-Content-Type-Options": "nosniff",
      "opc-next-page": "MTY2MjA3ODU5NTAwMHx8b2NpZDEudGhyZWF0ZW50aXR5Lm9jMS4uYWFhYWFhYWF1MnFjeDU2bGdxamxscnVxNHdtZG1xdXp0ZmpqeGsyd3V3dmliNWd3cWZtc3V5dHJzYmxh",
      "opc-previous-page": "",
      "opc-request-id": "EFBD59D5E9AC4072A06750EB5AEBEA7A/EAF6F605F3CABF83C6BB7ABD9F3398A4/FD04F21730E00B8074A422238071544B"
    },
    "status": "200 OK"
  }

  「脅威インジケータ・データベースの脅威タイプ」を参照してください。

  特定のインジケータに関する詳細の取得

  GET /20220901/indicators/<indicator_OCID>?compartmentId=<root_compartment_OCID>
  Host: thi-control-plane-api-threatintelservice.us-ashburn-1.oci.oraclecloud.com
  <authorization and other headers>

  レスポンス:

  {
     "confidence": 80,
     "id": "<indicator_OCID>",
     "labels": [
        {
           "attribution": [
              {
                 "score": 80,
                 "source": {
                    "name": "Oracle"
                 },
                 "timeFirstSeen": "2021-07-15T16:56:42.212Z",
                 "timeLastSeen": "2021-07-22T11:26:05.000Z"
              }
           ],
           "label": {
              "id": "bruteforce",
              "label": "bruteforce"
           }
        }
     ],
     "malwareFamilies": [],
     "targets": [],
     "threatTypes": [],
     "timeCreated": "2021-04-30T19:56:40.514Z",
     "timeLastUpdated": "2021-07-22T11:49:27.000Z",
     "type": "IP_ADDRESS",
     "value": "<indicator_IP_address>"
  }