文档中心 威胁情报云查服务 API 文档 威胁情报相关接口 查询威胁情报

查询威胁情报

最近更新时间:2019-07-24 15:40:14

查看pdf

在这篇文章中:

1. 接口描述

接口请求域名: tics.tencentcloudapi.com 。

提供IP和域名相关威胁情报信息查询,这些信息可以辅助检测失陷主机、帮助SIEM/SOC等系统做研判决策、帮助运营团队对设备报警的编排处理。

默认接口请求频率限制:10000次/秒。

2. 输入参数

以下请求参数列表仅列出了接口请求参数和部分公共参数,完整公共参数列表见 公共请求参数

参数名称 必选 类型 描述
Action String 公共参数,本接口取值:DescribeThreatInfo
Version String 公共参数,本接口取值:2018-11-15
Region String 公共参数,本接口不需要传递此参数。
Key String 查询对象,域名或IP
Type String 查询类型,当前取值为domain或ip
Option Integer 附加字段,是否返回上下文。当为0时不返回上下文,当为1时返回上下文。

3. 输出参数

参数名称 类型 描述
ReturnCode Integer 是否有数据,0代表有数据,1代表没有数据
Result String 判定结果,如:black、white、grey
Confidence Integer 置信度,取值0-100
ThreatTypes Array of String 威胁类型。
botnet = 僵尸网络
trojan = 木马
ransomware = 勒索软件
worm = 蠕虫
dga = 域名生成算法
c2 = c&c
compromised = 失陷主机
dynamicIP = 动态IP
proxy = 代理
idc = idc 机房
whitelist = 白名单
tor = 暗网
miner = 挖矿
maleware site = 恶意站点
malware IP = 恶意IP
等等
Tags Array of String 恶意标签,对应的团伙,家族等信息。
Status String 当前状态
active = 活跃
sinkholed = sinkholed
inactive = 不活跃
unknown = 未知
expired = 过期
Context String 情报相关的上下文,参数option=1 的时候提供
每个数据默认为3 条
RequestId String 唯一请求 ID,每次请求都会返回。定位问题时需要提供该次请求的 RequestId。

4. 示例

示例1 查询域名是否失陷

根据域名,查询该域名是否失陷及相关信息

输入示例

https://tics.tencentcloudapi.com/?Action=DescribeThreatInfo
&Key=003143.sdyintong.com
&Type=domain
&Option=0
&<公共请求参数>

输出示例

{
  "Response": {
    "ReturnCode": 0,
    "Result": "black",
    "Confidence": 90,
    "ThreatTypes": [
      "malware site"
    ],
    "Tags": [],
    "Status": "inactive",
    "Context": "",
    "RequestId": "3c140219-cfe9-470e-b241-907877d6fb03"
  }
}

5. 开发者资源

API Explorer

该工具提供了在线调用、签名验证、SDK 代码生成和快速检索接口等能力,能显著降低使用云 API 的难度,推荐使用。

SDK

云 API 3.0 提供了配套的开发工具集(SDK),支持多种编程语言,能更方便的调用 API。

命令行工具

6. 错误码

以下仅列出了接口业务逻辑相关的错误码,其他错误码详见 公共错误码

错误码 描述
InternalError.CacheErr 内部系统错误,组件异常。
InternalError.LocalErr 内部系统错误,逻辑错误。
InternalError.Timeout 内部系统错误,超时等异常。
InvalidParameter 参数错误。
LimitExceeded 超过配额限制。

威胁情报云查服务 相关文档