Tweet
Cisco threat grid
CISCO THREAT GRID
Threat Grid là nền tảng phân tích mối đe dọa và phân tích phần mềm độc hại thống nhất của Cisco. Ý tưởng đằng sau Threat Grid là trình bày một công cụ phân tích kết hợp có thể tận dụng và hợp nhất nhiều khả năng và nhiều cơ sở hạ tầng trong một tổ chức. Nó thực hiện điều này bằng cách thực hiện phân tích tĩnh và động, tạo ra các báo cáo và chỉ số mà con người có thể đọc được. Các bản ghi file thường được tải lên thông qua cổng thông tin hoặc API và đầu ra hoặc kết quả cũng thường được sử dụng thông qua nguồn cấp dữ liệu thông minh về mối đe dọa với nội dung phong phú. Hình bên dưới cho thấy các chức năng khác nhau mà Threat Grid thực hiện.
Hình Giải thích đơn giản về Threat Grid
Threat Grid tích hợp phân tích hành vi theo thời gian thực và nguồn cấp dữ liệu thông tin tình báo về mối đe dọa cập nhật từng phút với các công nghệ bảo mật hiện có để bảo vệ mạng khỏi các cuộc tấn công đã biết và chưa biết. Threat Grid phân tích các file đáng ngờ dựa trên hơn 1000 chỉ báo hành vi và cơ sở kiến thức về phần mềm độc hại có nguồn gốc từ khắp nơi trên thế giới để cung cấp phân tích mối đe dọa chính xác hơn, phù hợp với context hơn bao giờ hết.
Hình Kiến trúc Giải pháp Threat Grid
Ở bên trái của hình là danh mục đầu tư của Cisco và bên phải là các đối tác tích hợp hoặc không thuộc Cisco. Các con số trong hình tương ứng với các chi tiết sau:
Threat Intelligence là các thông tin có bằng chứng về một mối đe dọa có thể giúp bảo vệ các hệ thống khỏi các mối đe dọa đó. Cách bảo vệ có thể là ngăn chặn nó hoàn toàn, giảm thiểu rủi ro, nhận dạng thủ phạm hoặc chỉ đơn giản là phát hiện. Trong bối cảnh của thông tin về các mối đe dọa trên không gian mạng, nó thường là danh sách của những dấu hiệu bị xâm phạm, các tác nhân xấu….
Các công dụng của các thông tin về các mối đe dọa:
Trong cấu trúc trên:
Các API của Threat Grid cung cấp nhiều chức năng, bao gồm quản lý tài khoản người dùng và tổ chức, các mẫu (quản lý file / phần mềm độc hại / chữ ký), thu thập dữ liệu phân tích mẫu và thu thập thông tin về mối đe dọa. Trang web DevNet https://developer.cisco.com/threat-grid/prov cung cấp chi tiết, tài liệu API và nhiều thông tin khác. Bạn có thể đăng ký tài khoản dùng thử miễn phí tại https://www.cisco.com/c/en/us/produc...ons-free-trials.html#~trials. Sau khi có quyền truy cập, bạn có thể tải xuống tất cả các API.
Các chỉ dấu bị xâm nhập (Indicators of Compromise -IOC) là một danh sách của các đường dẫn, các kết quả checksum, url, IPs, registry key…kết hợp với một kiểu xâm nhập. Ví dụ bên dưới mô tả cách thức chúng ta lấy các thông tin về IOC cho một tên miền nào đó trong một khoảng thời gian đang quan tâm.
2. Định dạng Threat Grid API
Tất cả các lệnh gọi API của Threat Grid được thực hiện tới URL https://panacea.threatgrid.com/api/. Định dạng của API như sau:
https://panacea.threatgrid.com/api//?q=&api_key=apikey
trong đó <ver> có thể là “v2” hoặc “v3”, <api-endpoint> là API thực và apikey là khóa được liên kết với tài khoản.
3. API Keys
Để lấy khóa API từ giao diện người dùng Threat Grid portal, hãy làm theo các bước sau:
Bước 1. Đi tới giao diện người dùng của cổng Threat Grid.
Bước 2. Từ menu Welcome ở góc trên bên phải của thanh điều hướng, chọn Manage Users.
Bước 3. Điều hướng (sử dụng Tìm kiếm nếu cần) đến trang User Details cho tài khoản người dùng tích hợp và sao chép khóa API.
Khóa API này được sử dụng trong mọi lệnh gọi API được thực hiện tới Threat Grid. Các phần sau cung cấp một số ví dụ về cách làm việc với các API của lưới Đe dọa.
Who Am I
Để xem khóa API có hoạt động hay không, bạn có thể sử dụng phương thức GET và API https://panacea.threatgrid.com/api/v3/session/whoami. Bạn cần chuyển khóa API dưới dạng tham số truy vấn, như được hiển thị trong ví dụ :
""" Threat Grid - who am I """
>>>import requests
>>>url ="https://panacea.threatgrid.com/api/v3/session/whoami"
>>>querystring ={"api_key":"deadbeefelcpgib9ec0909"}
>>>headers = {
'cache-control': "no-cache",
}
>>>response = requests.request("GET", url, headers=headers, params=querystring)
>>>print(response.text)
4. Phản hồi JSON cho yêu cầu
{
"api_version": 3,
"id": 1234567,
"data": {
"role": "user",
"properties": {},
"integration_id": "z1ci",
"email": "devasc@student.com",
"organization_id": 666777,
"name": "devasc",
"login": "devasc",
"title": "DevNet Associate",
"api_key": " deadbeefelcpgib9ec0909",
"device": false
}
}
5. API Data, Sample và IOC
API Data cho phép các nhà phát triển tìm kiếm những thứ có thể quan sát theo các tiêu chí cụ thể. Bạn có thể thực hiện tìm kiếm đối tượng bằng cách sử dụng /search/endpoint. Bạn có thể xoay vòng dữ liệu Threat Grid bằng cách sử dụng tra cứu đối tượng /domains/, /urls/, /paths/, v.v. API mẫu cho phép các nhà phát triển gửi và truy xuất dữ liệu để phân tích. Bạn có thể nhận được các nguồn cấp dữ liệu thô có thể quan sát được bằng cách sử dụng /sample/feeds/endpoint. Dữ liệu thường được thu thập từ tất cả các hoạt động mẫu, đáng ngờ hay không, và để lại một dấu vết rất lớn. Bạn có thể sử dụng API này để truy vấn nguồn cấp dữ liệu để xem mẫu chỉ dành cho tổ chức của bạn.
Nguồn cấp dữ liệu API Chỉ báo Thỏa hiệp (IOC - Indicator of Compromise) có thể được truy cập thông qua điểm cuối /iocs/feeds. Với API này, bạn có thể thấy những thứ có thể quan sát được cùng với các chỉ báo hành vi. Thông thường, nếu một mục hiển thị trong nguồn cấp dữ liệu này, điều đó có nghĩa là có ít nhất một mức độ nào đó của hành vi đáng ngờ được liên kết với mục đó. Ngoài ra, bộ lọc có thể được áp dụng để chỉ xem các mẫu từ tổ chức của bạn. Hãy xem một ví dụ. Trong ví dụ này, chúng ta sẽ tìm kiếm tất cả các bản ghi có giá trị sha1 bằng "8fbb3bd96b80e28ea41107728ce8c073cbadb0dd". Để làm như vậy, chúng tôi sử dụng phương thức GET và API https://panacea.threatgrid.com/api/v2/search/submissions và chúng tôi cần chuyển khóa API dưới dạng tham số truy vấn. Ví dụ cho thấy các tập lệnh yêu cầu Python sử dụng trong trường hợp này.
""" Threat Grid - search submissions API """
>>>import requests
>>>url ="https://panacea.threatgrid.com/api/v2/search/submissions"
>>>querystring = {
"q":"8fbb3bd96b80e28ea41107728ce8c073cbadb0dd" ,
"api_key": "deadbeefelcpgib9ec0909"
}
>>>headers = {
'cache-control': "no-cache",
}
>>>response = requests.request("GET", url, headers=headers, params=querystring)
>>>print(response.text)
Phản hồi JSON cho yêu cầu
{
"api_version": 2,
"id": 4482656,
"data": {
"index": 0,
"total": 1,
"took": 3956,
"timed_out": false,
"items_per_page": 100,
"current_item_count": 1,
"items": [
{
"item": {
"properties": {
"metadata": null
},
"tags": [],
"vm_runtime": 300,
"md5":
"b5c26cab57c41208bd6bf92d495ee1f0",
"state": "succ",
"sha1":"8fbb3bd96b80e28ea41107728ce8c073cbadb0 dd",
"sample":"b7d3dd2a6d47ea640f719cc76c2122f8",
"filename":"FlashPlayer.exe",
6. Feeds - Nguồn cấp dữ liệu
Threat Grid hỗ trợ ba loại feed khác nhau:
Nguồn cấp dữ liệu mẫu - Sample feeds: Đây là tất cả các nguồn có thể quan sát được.
Nguồn cấp dữ liệu Chỉ số Thỏa hiệp (IOC) - Indicator of Compromise (IOC) feeds: Đây là những nguồn cấp dữ liệu có thể quan sát được thông qua thông tin kinh doanh. IOC được sử dụng để chỉ ra rằng hệ thống đã bị ảnh hưởng bởi một số dạng phần mềm độc hại.
Nguồn cấp dữ liệu đã được tuyển chọn - Curated feeds: Đây là những nguồn cấp dữ liệu được sắp xếp và có độ tin cậy cao.
Giả sử rằng bạn muốn truy xuất tất cả các nguồn cấp dữ liệu được sắp xếp thông qua API.
Bây giờ, hãy xem một ví dụ về việc xem qua tất cả các loại nguồn cấp dữ liệu và in ra nguồn cấp dữ liệu nếu có bất kỳ dữ liệu nào. Trong trường hợp này, bạn có thể sử dụng phương thức GET và API https://panacea.threatgrid.com/api/v2/search/submissions. Khóa API phải được chuyển dưới dạng tham số truy vấn. Ví dụ dưới đây hiển thị tập lệnh yêu cầu Python mà bạn sử dụng trong trường hợp này.
""" Threat Grid - List details for each curated feed type """
>>>import requests
>>>FEED_URL ="https://panacea.threatgrid.com/api/v3/feeds"
>>>FEEDS_NAME = {"autorun-registry": "Autorun Registry Malware", "banking-dns": "Banking Trojans", "dga-dns": "Domain Generation Algorithm Destinations",
"dll-hijacking-dns": "DLL Hijackers / Sideloaders", "doc-net-com-dns": "Document File Network Communication",
"downloaded-pe-dns": "Dropper Communication",
"dynamic-dns": "Dynamic DNS Communication",
"irc-dns": "IRC Communication",
"modified-hosts-dns": "Modified HOSTS File Communication",
"public-ip-check-dns": "Public IP Checkers",
"ransomware-dns": "Ransomware Communication",
"rat-dns": "Remote Access Trojans",
"scheduled-tasks": "Scheduled Task Communication",
"sinkholed-ip-dns": "Sinkholed IPs",
"stolen-cert-dns": "Stolen Certificates",
}
>>>for name, desc in FEEDS_NAME.items():
>>> url = "{}/{}.json".format(FEED_URL, name)
>>> querystring = {"api_key":"2kdn3muq7uafelcpgib9eccua7"}
>>>headers = {'cache-control': "no-cache", 'Content-type': 'application/json', 'Accept': 'application/json'
}
>>>response = requests.request("GET", url, headers=headers, params=querystring)
>>>print(response.text)
Threat Grid là nền tảng phân tích mối đe dọa và phân tích phần mềm độc hại thống nhất của Cisco. Ý tưởng đằng sau Threat Grid là trình bày một công cụ phân tích kết hợp có thể tận dụng và hợp nhất nhiều khả năng và nhiều cơ sở hạ tầng trong một tổ chức. Nó thực hiện điều này bằng cách thực hiện phân tích tĩnh và động, tạo ra các báo cáo và chỉ số mà con người có thể đọc được. Các bản ghi file thường được tải lên thông qua cổng thông tin hoặc API và đầu ra hoặc kết quả cũng thường được sử dụng thông qua nguồn cấp dữ liệu thông minh về mối đe dọa với nội dung phong phú. Hình bên dưới cho thấy các chức năng khác nhau mà Threat Grid thực hiện.
Hình Giải thích đơn giản về Threat Grid
Threat Grid tích hợp phân tích hành vi theo thời gian thực và nguồn cấp dữ liệu thông tin tình báo về mối đe dọa cập nhật từng phút với các công nghệ bảo mật hiện có để bảo vệ mạng khỏi các cuộc tấn công đã biết và chưa biết. Threat Grid phân tích các file đáng ngờ dựa trên hơn 1000 chỉ báo hành vi và cơ sở kiến thức về phần mềm độc hại có nguồn gốc từ khắp nơi trên thế giới để cung cấp phân tích mối đe dọa chính xác hơn, phù hợp với context hơn bao giờ hết.
Hình Kiến trúc Giải pháp Threat Grid
Ở bên trái của hình là danh mục đầu tư của Cisco và bên phải là các đối tác tích hợp hoặc không thuộc Cisco. Các con số trong hình tương ứng với các chi tiết sau:
- Giải pháp có thể được tích hợp trên danh mục bảo mật của Cisco, bao gồm AMP cho Điểm cuối, AMP cho Mạng, ASA với Firepower, ESA, WSA và Meraki (AMP - Advanced Malware Protection)
- Threat Grid có thể được triển khai dưới dạng một sản phẩm dịch vụ dựa trên phần mềm, đám mây hoặc một thiết bị tại doanh nghiệp (on-premise).
- Khi đăng ký sử dụng Threat Grid, bạn sẽ được cung cấp thông tin về mối đe dọa thông qua API
- Thông tin về mối đe dọa được tự động chuyển đến các nền tảng giám sát an ninh
- Các giải pháp tích hợp của bên thứ ba tự động gửi mẫu và phân tích thông tin tình báo về mối đe dọa.
- Phân tích theo ngữ cảnh (context) phong phú cho phép các nhà phân tích cấp dưới đưa ra quyết định chính xác nhanh chóng hơn.
Threat Intelligence là các thông tin có bằng chứng về một mối đe dọa có thể giúp bảo vệ các hệ thống khỏi các mối đe dọa đó. Cách bảo vệ có thể là ngăn chặn nó hoàn toàn, giảm thiểu rủi ro, nhận dạng thủ phạm hoặc chỉ đơn giản là phát hiện. Trong bối cảnh của thông tin về các mối đe dọa trên không gian mạng, nó thường là danh sách của những dấu hiệu bị xâm phạm, các tác nhân xấu….
Các công dụng của các thông tin về các mối đe dọa:
- Giúp ngăn ngừa (ví dụ chặn các host xấu)
- Phát hiện (ví dụ: phát hiện một vài máy trên mạng có những kết nối nguy hiểm đến các host xấu)
- Đáp trả (ví dụ: chặn, sau đó dọn dẹp các kết nối)
- Nhận dạng (các công cụ, kỹ thuật và các qui trình TTP)
- [*=2]Họ dùng công cụ gì [*=2]Kỹ thuật Họ sử dụng chúng như thế nào [*=2]Qui trình (Các hoạt động diễn ra ở mức cao như thế nào) [*=2]Các thuộc tính (những máy xấu bad guy này thật ra là ai)
- Phân tích mẫu: gửi file để phân tích, phân giải kết quả để tìm các chỉ dấu, thực thi các hành động trong các môi trường.
- Bối cảnh và các thông tin phong phú khác: Kết hợp các chỉ dấu với một họ của các malware, liên kết một phần payload đến một file Word, các host và các chỉ dấu mạng có liên quan.
- Threat Hunting: tìm ra các mẫu tên trong các files và các domains, chỉ ra các vùng mạng được dùng trong chiến dịch, thu thập các thông số dòng lệnh được dùng bởi malware.
Trong cấu trúc trên:
- Root: https://panacea.threatgrid.com/api/
- API version: "v2" hay "v3"
- API endpoint (phần còn lại của đường dẫn)
- Các thông số:
- API key: từ các trang tài khoản chi tiết.
- Các thông số khác có sẵn khi được yêu cầu.
Các API của Threat Grid cung cấp nhiều chức năng, bao gồm quản lý tài khoản người dùng và tổ chức, các mẫu (quản lý file / phần mềm độc hại / chữ ký), thu thập dữ liệu phân tích mẫu và thu thập thông tin về mối đe dọa. Trang web DevNet https://developer.cisco.com/threat-grid/prov cung cấp chi tiết, tài liệu API và nhiều thông tin khác. Bạn có thể đăng ký tài khoản dùng thử miễn phí tại https://www.cisco.com/c/en/us/produc...ons-free-trials.html#~trials. Sau khi có quyền truy cập, bạn có thể tải xuống tất cả các API.
Các chỉ dấu bị xâm nhập (Indicators of Compromise -IOC) là một danh sách của các đường dẫn, các kết quả checksum, url, IPs, registry key…kết hợp với một kiểu xâm nhập. Ví dụ bên dưới mô tả cách thức chúng ta lấy các thông tin về IOC cho một tên miền nào đó trong một khoảng thời gian đang quan tâm.
2. Định dạng Threat Grid API
Tất cả các lệnh gọi API của Threat Grid được thực hiện tới URL https://panacea.threatgrid.com/api/. Định dạng của API như sau:
https://panacea.threatgrid.com/api//?q=&api_key=apikey
trong đó <ver> có thể là “v2” hoặc “v3”, <api-endpoint> là API thực và apikey là khóa được liên kết với tài khoản.
3. API Keys
Để lấy khóa API từ giao diện người dùng Threat Grid portal, hãy làm theo các bước sau:
Bước 1. Đi tới giao diện người dùng của cổng Threat Grid.
Bước 2. Từ menu Welcome ở góc trên bên phải của thanh điều hướng, chọn Manage Users.
Bước 3. Điều hướng (sử dụng Tìm kiếm nếu cần) đến trang User Details cho tài khoản người dùng tích hợp và sao chép khóa API.
Khóa API này được sử dụng trong mọi lệnh gọi API được thực hiện tới Threat Grid. Các phần sau cung cấp một số ví dụ về cách làm việc với các API của lưới Đe dọa.
Who Am I
Để xem khóa API có hoạt động hay không, bạn có thể sử dụng phương thức GET và API https://panacea.threatgrid.com/api/v3/session/whoami. Bạn cần chuyển khóa API dưới dạng tham số truy vấn, như được hiển thị trong ví dụ :
""" Threat Grid - who am I """
>>>import requests
>>>url ="https://panacea.threatgrid.com/api/v3/session/whoami"
>>>querystring ={"api_key":"deadbeefelcpgib9ec0909"}
>>>headers = {
'cache-control': "no-cache",
}
>>>response = requests.request("GET", url, headers=headers, params=querystring)
>>>print(response.text)
4. Phản hồi JSON cho yêu cầu
{
"api_version": 3,
"id": 1234567,
"data": {
"role": "user",
"properties": {},
"integration_id": "z1ci",
"email": "devasc@student.com",
"organization_id": 666777,
"name": "devasc",
"login": "devasc",
"title": "DevNet Associate",
"api_key": " deadbeefelcpgib9ec0909",
"device": false
}
}
5. API Data, Sample và IOC
API Data cho phép các nhà phát triển tìm kiếm những thứ có thể quan sát theo các tiêu chí cụ thể. Bạn có thể thực hiện tìm kiếm đối tượng bằng cách sử dụng /search/endpoint. Bạn có thể xoay vòng dữ liệu Threat Grid bằng cách sử dụng tra cứu đối tượng /domains/, /urls/, /paths/, v.v. API mẫu cho phép các nhà phát triển gửi và truy xuất dữ liệu để phân tích. Bạn có thể nhận được các nguồn cấp dữ liệu thô có thể quan sát được bằng cách sử dụng /sample/feeds/endpoint. Dữ liệu thường được thu thập từ tất cả các hoạt động mẫu, đáng ngờ hay không, và để lại một dấu vết rất lớn. Bạn có thể sử dụng API này để truy vấn nguồn cấp dữ liệu để xem mẫu chỉ dành cho tổ chức của bạn.
Nguồn cấp dữ liệu API Chỉ báo Thỏa hiệp (IOC - Indicator of Compromise) có thể được truy cập thông qua điểm cuối /iocs/feeds. Với API này, bạn có thể thấy những thứ có thể quan sát được cùng với các chỉ báo hành vi. Thông thường, nếu một mục hiển thị trong nguồn cấp dữ liệu này, điều đó có nghĩa là có ít nhất một mức độ nào đó của hành vi đáng ngờ được liên kết với mục đó. Ngoài ra, bộ lọc có thể được áp dụng để chỉ xem các mẫu từ tổ chức của bạn. Hãy xem một ví dụ. Trong ví dụ này, chúng ta sẽ tìm kiếm tất cả các bản ghi có giá trị sha1 bằng "8fbb3bd96b80e28ea41107728ce8c073cbadb0dd". Để làm như vậy, chúng tôi sử dụng phương thức GET và API https://panacea.threatgrid.com/api/v2/search/submissions và chúng tôi cần chuyển khóa API dưới dạng tham số truy vấn. Ví dụ cho thấy các tập lệnh yêu cầu Python sử dụng trong trường hợp này.
""" Threat Grid - search submissions API """
>>>import requests
>>>url ="https://panacea.threatgrid.com/api/v2/search/submissions"
>>>querystring = {
"q":"8fbb3bd96b80e28ea41107728ce8c073cbadb0dd" ,
"api_key": "deadbeefelcpgib9ec0909"
}
>>>headers = {
'cache-control': "no-cache",
}
>>>response = requests.request("GET", url, headers=headers, params=querystring)
>>>print(response.text)
Phản hồi JSON cho yêu cầu
{
"api_version": 2,
"id": 4482656,
"data": {
"index": 0,
"total": 1,
"took": 3956,
"timed_out": false,
"items_per_page": 100,
"current_item_count": 1,
"items": [
{
"item": {
"properties": {
"metadata": null
},
"tags": [],
"vm_runtime": 300,
"md5":
"b5c26cab57c41208bd6bf92d495ee1f0",
"state": "succ",
"sha1":"8fbb3bd96b80e28ea41107728ce8c073cbadb0 dd",
"sample":"b7d3dd2a6d47ea640f719cc76c2122f8",
"filename":"FlashPlayer.exe",
6. Feeds - Nguồn cấp dữ liệu
Threat Grid hỗ trợ ba loại feed khác nhau:
Nguồn cấp dữ liệu mẫu - Sample feeds: Đây là tất cả các nguồn có thể quan sát được.
Nguồn cấp dữ liệu Chỉ số Thỏa hiệp (IOC) - Indicator of Compromise (IOC) feeds: Đây là những nguồn cấp dữ liệu có thể quan sát được thông qua thông tin kinh doanh. IOC được sử dụng để chỉ ra rằng hệ thống đã bị ảnh hưởng bởi một số dạng phần mềm độc hại.
Nguồn cấp dữ liệu đã được tuyển chọn - Curated feeds: Đây là những nguồn cấp dữ liệu được sắp xếp và có độ tin cậy cao.
| Sample feeds | Indicator of Compromise (IOC) feeds | Curated feeds | |
| Version | /v2 | /v2 | /v3 |
| Endpoint | /samples/feeds/ | /iocs/feeds/ | /feeds/ |
| Content | Tất cả những thứ có thể quan sát được đều được nhìn thấy | Có thể quan sát được trong tất cả BI | Các khả năng quan sát được coi là một phần của kích hoạt BI có độ tin cậy cao đáng tin cậy |
| Được đưa vào danh sách trắng trước – Pre-whitelisted | No | No | Yes |
| Có thể lọc cho chỉ bạn / tổ chức ? | Yes | Yes | No |
| Định dạng đầu ra | JSON | JSON | JSON/CSV/Snort/STIX |
| Tên nguồn cấp dữ liệu | Mô tả |
| Autorun-registry | Dữ liệu nhập registry bắt nguồn từ việc truy vấn các thay đổi registry được biết đến với tính bền bỉ |
| Banking-dns | Mạng lưới liên lạc của Banking Trojan |
| dga-dns | Tên miền DGA có tên giả được tạo ngẫu nhiên |
| Dll-hijacking-dns | Các tên miền được giao tiếp bởi các mẫu tận dụng các kỹ thuật sideloading và chiếm quyền điều khiển DLL |
| doc-net-com-dns | Mạng lưới liên lạc của các file hồ sơ (PDF, Office) |
| downloaded- pe-dns | Tải xuống các mẫu mạng có thể thực thi |
| Dynamic-dns | Các mẫu tận dụng các nhà cung cấp DNS động |
| irc-dns | Mạng lưới liên lạc của Internet Relay Chat (IRC) |
| Modified-hosts-dns | Mạng lưới liên lạc của file hosts Windows đã được chỉnh sửa |
| Parked-dns | Các tên miền trỏ hướng phân giải tới địa chỉ localhost và địa chỉ broadcast RFC 1918 |
| public-ip-check-dns | Mạng lưới liên lạc của địa chỉ IP public |
| ransomware-dns | Các mẫu giao tiếp với máy chủ ransomware |
| rat-dns | Mạng lưới liên lạc của Trojan Truy cập Từ xa (RAT) |
| Scheduled-tasks | Dữ liệu tác vụ đã lên lịch được quan sát trong quá trình thực thi mẫu |
| Sinkholed-ip-dns | Các mục nhập DNS cho các mẫu giao tiếp với lỗ hổng DNS đã biết |
| stolen-cert-dns | Các mục nhập DNS được quan sát từ các mẫu được ký bằng chứng chỉ bị đánh cắp |
""" Threat Grid - List details for each curated feed type """
>>>import requests
>>>FEED_URL ="https://panacea.threatgrid.com/api/v3/feeds"
>>>FEEDS_NAME = {"autorun-registry": "Autorun Registry Malware", "banking-dns": "Banking Trojans", "dga-dns": "Domain Generation Algorithm Destinations",
"dll-hijacking-dns": "DLL Hijackers / Sideloaders", "doc-net-com-dns": "Document File Network Communication",
"downloaded-pe-dns": "Dropper Communication",
"dynamic-dns": "Dynamic DNS Communication",
"irc-dns": "IRC Communication",
"modified-hosts-dns": "Modified HOSTS File Communication",
"public-ip-check-dns": "Public IP Checkers",
"ransomware-dns": "Ransomware Communication",
"rat-dns": "Remote Access Trojans",
"scheduled-tasks": "Scheduled Task Communication",
"sinkholed-ip-dns": "Sinkholed IPs",
"stolen-cert-dns": "Stolen Certificates",
}
>>>for name, desc in FEEDS_NAME.items():
>>> url = "{}/{}.json".format(FEED_URL, name)
>>> querystring = {"api_key":"2kdn3muq7uafelcpgib9eccua7"}
>>>headers = {'cache-control': "no-cache", 'Content-type': 'application/json', 'Accept': 'application/json'
}
>>>response = requests.request("GET", url, headers=headers, params=querystring)
>>>print(response.text)