您可以通过威胁情报搜索功能,对全网IP、域名和文件进行搜索,帮助您及时有效排查存在风险的恶意IP、域名和可疑文件。
背景信息
威胁情报服务会在搜索结果中为您展示指定IP、域名和文件的详细信息和威胁关联数据,您可以通过搜索结果中的信息判断是否存在恶意IP(仅支持IPv4)、域名或存在威胁的进程文件。
每个阿里云主账号针对每类IOC(即IP、域名或MD5)的查询上限为20次/天。如果当天的查询额度耗尽,您需要根据页面提示购买服务或申请更高权限。
操作步骤
- 登录威胁情报控制台。
- 在左侧导航栏单击搜索。
- 在阿里云威胁情报搜索栏中输入您需要查询的可疑或恶意IP地址、域名或文件MD5值,或者上传需要检测的文件,然后单击【搜索】按钮进行查询。说明 仅支持搜索单个IP地址,不支持同时搜索多个IP地址;IPv6地址暂不支持。执行搜索操作后,会跳转至对应的报告页面。不同的报告页面介绍如下:
- IP报告您可以在IP报告页面查看该IP地址的基本信息、攻击风险程度分析等信息。详细说明如下:
- 威胁等级
威胁情报服务将全球范围内的IP地址划分为高危、中危、低危、正常和未知5个威胁等级。如果检索的IP地址被识别为高危等级,建议您立即对该IP地址进行处理。
- 该可疑或恶意IP的基本信息
该IP地址的基本信息包括所在国家、城市、ASN编码、存在关联的域名、文件数量、IP标签等信息。
说明 威胁情报服务对该IP地址进行威胁检测和分析后,会提供该IP的风险威胁标签。标签包括暴力破解、失陷主机、僵尸网络、木马、蠕虫、矿池、Web攻击等主要威胁类型,不支持自定义。如果威胁情报判定该IP地址存在威胁,IP标签模块会展示红色标签和具体的标签名称为您提供警示,请您及时关注。如果威胁情报判定该IP地址是正常IP,IP标签模块会展示为绿色标签,并提供具体的标签名称供您参考。 - 威胁概述
威胁概述页签为您展示了该IP地址的Top5攻击偏好、ATT&CK MATRIX阶段、攻击数量和IP进一个活跃信息。
- 攻击路径测绘
攻击路径测绘页签为您展示了该IP地址的情报标签、首次发现时间、最后活跃时间和威胁标签。
- RDNS
RDNS页签展示了该IP的反向域名解析信息,包括首次发现时间、最后活跃时间、关联度、以及对应域名的威胁标签。
- 相关样本
相关样本页签展示了该IP的访问样本和下载样本信息,包括文件MD5、扫描时间、威胁标签。
- 相关URL
相关URL页签展示了该IP相关的URL、扫描时间、威胁标签。
- 相关安全咨询
相关安全咨询页签展示了该IP相关安全分析报告或者咨询文章URL。
- 相关攻击组织
相关攻击组织页签展示了该IP关联的软件家族和组织团伙点,击攻击组织名称则可以跳转到相关家族和团伙具体详情【如果无相关家族团伙则无此菜单】。
- 威胁等级
- 域名报告您可以在域名报告页面查看该域名是否存在威胁和对应的威胁等级、域名的Whois信息、域名注册时间和有效期、域名的威胁详情等信息。详细说明如下:
- 威胁等级
威胁情报服务将全球范围内的域名划分为高危、中危、低危、正常和未知5个威胁等级。如果检索的域名被识别为高危等级,建议您立即对该域名进行处理。
- 报告摘要信息
报告摘要信息包括该域名历史上检测出的恶意IP数量、域名上的恶意URL地址、该域名的恶意子域名数量、与该域名进行过恶意通信的样本数量、该域名的注册时间和过期时间。报告摘要中如果有项目为空,表示当前该项未产生检测结果。
- 域名的标签
威胁情报服务对该域名行威胁检测和分析后,会提供该域名的风险威胁标签。标签包括暴力破解、失陷主机、僵尸网络、木马、蠕虫、矿池、Web攻击等主要威胁类型,标签不支持自定义。如果威胁情报判定该域名存在威胁,域名标签模块会展示红色标签和具体的标签名称为您提供警示,请您及时关注。绿色标签表示该文件的基础属性,为您了解该域名提供更多信息。
- 威胁概述
在威胁概述页签展示了该域名的威胁ATT&CK MATRIX阶段和域名进一个月活跃情况。
- 威胁详情
在威胁详情页签下的详情页签中,展示了该域名的威胁情报标签、首次发现时间、最后活跃时间和威胁标签。
- Whois
Whois页签展示了该域名的注册Whois数据,包括注册商、注册人邮箱、创建时间、过期时间等。
- 域名解析
域名解析页签展示了该域名的历史解析记录,包括解析IP、首末次时间,解析关联强度,高表示解析次数多,低表示解析次数相对较少。
- 相关子域名
相关子域名页签展示了该域名相关的恶意子域名。
- 相关样本
相关样本页签展示了该域名的访问样本和下载样本信息,包括文件MD5、扫描时间、威胁标签。
- 相关URL
相关URL页签展示了该域名相关URL、扫描时间、威胁标签。
- 数字签名
数字签名页签展示了该域名相关的数字签名信息。
- 相关安全咨询
相关安全咨询页签展示了该域名相关安全分析报告或者咨询文章URL。
- 相关攻击组织
相关攻击组织页签展示了该域名关联的软件家族和组织团伙,点击攻击组织名称则可以跳转到相关家族和团伙具体详情【如果无相关家族团伙则无此菜单】。
- 威胁等级
- MD5文件报告您可以在MD5文件报告页面查看该文件是否存在威胁和对应的威胁等级、文件报告摘要、静态威胁分析、域名的威胁详情等信息。详细说明如下:
- 威胁等级
威胁情报服务将文件划分为高危、中危、低危、正常和未知5个威胁等级。如果检索的文件被识别为高危等级,建议您立即对该文件进行处理。
- 报告摘要信息
报告摘要信息包括该文件的文件标签、文件名称(即MD5值)、首次发现时间等。
说明 威胁情报服务对该文件行威胁检测和分析后,会提供该文件的风险威胁标签。标签包括暴力破解、失陷主机、僵尸网络、木马、蠕虫、矿池、Web攻击等主要威胁类型,标签不支持自定义。如果威胁情报判定该文件存在威胁,文件标签模块会展示红色标签和具体的标签名称为您提供警示,请您及时关注。绿色标签表示该文件的基础属性,为您了解该文件提供更多信息。 - 静态威胁分析和动态威胁分析结果
静态威胁分析采用阿里云自研的威胁检测引擎,有效检测出二进制文件(例如:病毒)和脚本文件(例如:WebShell等)。威胁情报服务使用威胁标签对静态威胁分析结果进行标签分类,标签类别包括恶意、正常、可疑、未检测(表示当前文件不适用于检测引擎),帮助您更精准地判断威胁的类型。
动态威胁分析是指使用沙箱模拟运行该文件时,监控到的释放文件、发起网络连接和DNS请求这三种动态行为的记录。对于这些相关文件、IP和域名,如果已经被威胁情报服务识别为恶意,则会展示对应的标签信息,帮助您分析该恶意文件可能会涉及到的影响,并进一步发现该文件关联的恶意文件、IP和域名。标签类别包括恶意、正常、可疑、未检测(表示当前文件不适用于指定的检测引擎)。说明 释放文件表示将该文件写入到其他路径;网络连接表示该文件与网络进行通信的信息;DNS请求表示该文件访问的域名信息。 - 相关安全咨询
相关安全咨询页签展示了该域名相关安全分析报告或者咨询文章URL。
- 威胁等级
热门IOC示例表示当天用户搜索量排名前10的IP、域名和文件MD5值。
- IP报告
- 可选:如果有存在误报或漏洞的情况,您可以在对应报告页面,单击页面右上角的IOC反馈,反馈至阿里云威胁情报团队进行进一步分析。