威胁情报信息分享平台整合使用WhoisXML API的数据 | WhoisXML API

Success stories

Discover companies like yours who have found success with WhoisXML API.

Success stories

全球领先的威胁情报信息分享平台整合使用WhoisXML API的WHOIS,IP和DNS数据

威胁情报信息分享平台通过信息监测、及时响应事故发生以及减轻事故的影响等方式,帮助企业全面了解他们可能面临的威胁。因此,为了向企业用户提供有关互联网风险的全方位信息,安全平台供应商需要从多渠道收集相关数据。

这其中存在着巨大的挑战。虽然收集WHOIS、IP、DNS和子域名数据信息是一件有意义的事情,但是这意味着平台需要每周处理数以万计的DNS和域名查询,并与成百上千的注册商、互联网注册局以及互联网服务提供商等建立合作关系。除此以外,随之而来的还伴随着因网络实体用户在数据使用过程中所产生的数据格式和兼容问题,数十亿行的数据需要被提取并解析成统一的使用格式。

鉴于以上众多挑战,多家威胁情报信息分享平台已经将WhoisXML API所提供的即时可用且解析完备的数据整合至其平台使用,这些数据由WhoisXML API收集已经超过了14.3年,包括101亿条Whois记录、23亿子域名和12.9万IP网块等。

WhoisXML API的数据是如何为威胁情报分享平台做补充

首先,WhoisXML API所提供的即时可用且解析完备的数据便于整合至威胁情报分享平台中。通常情况下,分享平台需要从众多实体获取相同的数据信息,然后将信息解析且转化为自身平台可用的方式,这个过程可能需要花费数年时间,然而,平台工程师采用WhoisXML API所提供的数据,只需要数周时间就可将其整合至安全平台中。

一些威胁情报平台已经在使用我们的数据源,如Maltego,该机构使用WhoisXML API的数据应用在域名误植调查、反向足迹扩展和域名所有权识别等方面。

一些威胁情报平台已经在使用我们的数据源,如Maltego,该机构使用WhoisXML API的数据应用在域名误植调查、反向足迹扩展和域名所有权识别等方面。
一些威胁情报平台已经在使用我们的数据源,如Maltego,该机构使用WhoisXML API的数据应用在域名误植调查、反向足迹扩展和域名所有权识别等方面。

来源: Maltego

另外一家机构是IBM X-Force Exchange,该机构使用Whois数据补充其风险报告。

另外一家机构是IBM X-Force Exchange,该机构使用Whois数据补充其风险报告。

第三家案例则是由CyberIQ所创办的被动侦查平台,其主要使用WhoisXML API所提供的域名Whois, IP和DNS数据。

第三家案例则是由CyberIQ所创办的被动侦查平台,其主要使用WhoisXML API所提供的域名Whois, IP和DNS数据。

威胁情报平台的主要使用场景有哪些?

通过接入使用WhoisXML API的数据源,威胁情报平台可以实现以下功能:

描绘数字足迹

WHOIS数据

将所有包含特定电子邮件或其他注册详细信息的域名通过其WHOIS信息记录关联起来,可以帮助安全团队深入了解可疑的网络事件。查看域名注册信息和威胁情报解决方案这两者的共通性,可为网络调查扩大相关数据信息点。

IP/DNS情报

网络威胁情报平台中嵌入IP地址可以通过使用DNS历史数据,绘制其数字足迹。该平台可以列出解析该IP地址的所有域名,让用户了解其中的哪些域名可能被利用了。IP地理定位数据和IP范围所有权信息可以深化该数字足迹。如果IP地址被发现是“恶意”的,那么它将会被标记和取缔使用。

子域名数据

WhoisXML API所提供的情报信息中还包括子域名,这是一个域名数字足迹的重要部分。它扩展了威胁情报平台的分析范围,并作为域名基础架构的隐藏部分,允许用户进行数据信息的接入访问。

域名系统联合组织

共享相同DNS数据的域名可能是由同一个实体来运营,如名称和邮件服务器。因此,这些数据将会被收录入对方整体的数字足迹中。此类的联合组织可为安全团队和网络犯罪调查者提供更丰富的数据资料。

深化域名的内涵

借助WHOIS数据,威胁情报平台可以帮助用户深化其域名的内涵,协助网络安全团队和犯罪调查者们解答相关问题,如:

  • 这些域名的所有者是谁?
  • 域名注册人的地址是哪里?
  • 域名的注册人、注册商和名称服务器是否有值得注意的变化?
  • 该域名是批量注册的吗?

监测新的数字资产

一些威胁情报信息分享平台的算法可能会根据域名的年限来进行信誉评分。在这种情况下,可借助域名WHOIS数据来追踪新的域名。

此外,用DNS数据来充实威胁情报平台,可以监测出更多新的子域名,包括它们首次出现及最近更新的日期。还可以监测近期IP网块活动记录信息,包括与其相关的联系细节、地理位置和自治系统(AS)记录等。

揭露可疑的变化和更新

域名注册记录、IP分配和DNS解析经常发生信息变更。然而,威胁情报平台所监测出的不寻常的更新可能预示着可疑活动的发生。至少,这些变化会给网络攻击者提供机会。

例如,过期的合法域名可能会被威胁者重新注册后用于网络钓鱼和商业电子邮件泄露(BEC)骗局等。威胁情报信息分享平台整合域名、IP和DNS情报资源,可以易于监测:

  • 不再使用的域名
  • 出乎意料的IP分配动态
  • 域名状态的变化
  • 新的邮件服务器和名称服务器
  • IP或域名解析中最近的更新
  • 休眠的域名和子域名突发的内容解析

WhoisXML API持续为网络情报威胁平台提供支持服务,使其安全团队可以根据已知的妥协标识(IoCs)进行网络安全调查。

如果您对WhoisXML API所提供域名Whois 数据信息感兴趣,请邮件联系我们。或者访问网页了解更多关于数据整合及企业安全域名和IP情报套餐服务。

See other success stories
Try our WhoisXML API for free
Get started