Especificaciones | Threat Intelligence Data Feeds | WhoisXML API

Especificaciones

Esta suscripción a este feed de datos se concede bajo licencia únicamente a usted o a su organización, no puede revender o conceder una nueva licencia de los datos sin el permiso explícito por escrito de Whois API, Inc. Cualquier infracción será perseguida con todo el peso de la ley.

Hay 10 tipos diferentes de datos en la exportación diaria. Cada exportación de datos se publica diariamente a las 3 AM UTC.

1. Feeds de datos de direcciones maliciosas IPv4/IPv6

Tamaño medio de los archivos

Sufijo del archivo Tamaño medio del archivo comprimido con gzip Tamaño medio del archivo descomprimido Registros
malicious-ips.v4.csv.gz 5,5MB 32MB 1,004,672
malicious-ips.v4.jsonl.gz 6,2MB 67MB 1,004,672
malicious-ips.v6.csv.gz 5,6MB 39MB 1,009,224
malicious-ips.v6.jsonl.gz 6,3MB 74MB 1,009,224

Formato de salida

ip,threatType,firstSeen,lastSeen 203.0.113.1,malware,1678372385 2001:0db8:85a3::8a2e:0370:7334,spam,1678372385 ...

Parámetros de salida

ip
IoC: direcciones IPv4 y IPv6 . El feed IPv6 también contiene direcciones IPv4 representadas en la notación IPv6 .
threatType
El tipo de amenaza asociado al IoC. Uno de los siguientes: ataque, botnet, c2, malware, phishing, spam, suspicious, tor, generic.
firstSeen
Registro UNIX de fecha y hora en que se detectó la actividad por primera vez.
lastSeen
Registro UNIX de fecha y hora en que se detectó la actividad por última vez.

2. Feed de datos de nombres de dominio maliciosos

Tamaño medio de los archivos

Sufijo del archivo Tamaño medio del archivo comprimido con gzip Tamaño medio del archivo descomprimido Registros
malicious-domains.csv.gz 39MB 286MB 6,957,036
malicious-domains.jsonl.gz 42MB 558MB 6,957,036

Formato de salida

domainName,threatType,firstSeen,lastSeen example.com,malware,1678372385 example.org,spam,1678372385 ...

Parámetros de salida

domainName
IoC: nombre de dominio.
threatType
El tipo de amenaza asociado al IoC. Uno de los siguientes: ataque, botnet, c2, malware, phishing, spam, suspicious, tor, generic.
firstSeen
Registro UNIX de fecha y hora en que se detectó la actividad por primera vez.
lastSeen
Registro UNIX de fecha y hora en que se detectó la actividad por última vez.

3. Feed de datos de URL maliciosas

Tamaño medio de los archivos

Sufijo del archivo Tamaño medio del archivo comprimido con gzip Tamaño medio del archivo descomprimido Registros
malicious-urls.csv.gz 42MB 116MB 1,073,285
malicious-urls.jsonl.gz 44MB 165MB 1,073,285

Formato de salida

url,host,threatType,firstSeen,lastSeen "example.com/wp-admin.php?hack_me=1","example.com",malware,1678372385 "/bad_path/bad_file.php","",malware,1678372385 ...

Parámetros de salida

url
IoC: URL. Puede ser absoluta (https://example.com/files/badfile.php) o relativa (/files/badfile.php). Las URL relativas no tienen un campo domainName correspondiente.
anfitrión
Nombre de dominio o IP para URL absolutas.
threatType
El tipo de amenaza asociado al IoC. Uno de los siguientes: ataque, botnet, c2, malware, phishing, spam, suspicious, tor, generic.
firstSeen
Registro UNIX de fecha y hora en que se detectó la actividad por primera vez.
lastSeen
Registro UNIX de fecha y hora en que se detectó la actividad por última vez.

4. Archivo malicioso hash alimentación de datos

Tamaño medio de los archivos

Sufijo del archivo Tamaño medio del archivo comprimido con gzip Tamaño medio del archivo descomprimido Registros
malicious-file-hashes.csv.gz 13MB 35MB 639,141
malicious-file-hashes.jsonl.gz 13MB 64MB 639,141

Formato de salida

hash,algo,threatType,firstSeen,lastSeen
1118d9c97f4ababe8ffcecef0946bcc8,md5,malware,1678372385
930619bc49c9836d26a3a2b75a3db93934d26fcb,sha1,malware,1678372385
...            

Parámetros de salida

hash
IoC: suma de comprobación del archivo. El algoritmo hash se determina mediante el campo algoritmo.
algo
El algoritmo utilizado para generar el valor en el campo hash: md5 o sha1.
threatType
El tipo de amenaza asociado al IoC. Uno de los siguientes: ataque, botnet, c2, malware, phishing, spam, suspicious, tor, generic.
firstSeen
Registro UNIX de fecha y hora en que se detectó la actividad por primera vez.
lastSeen
Registro UNIX de fecha y hora en que se detectó la actividad por última vez.

5. Archivos de anfitrión

Una denylist en el formato de archivo hosts que contiene nombres de dominio maliciosos asignados a 0.0.0.0, para bloquear el acceso a ellos. Compatible con la mayoría de los sistemas operativos. La denylist contiene los IoC activos el día anterior a la exportación.

Tamaño medio de los archivos

Sufijo del archivo Tamaño medio del archivo comprimido con gzip Tamaño medio del archivo descomprimido Registros
hosts.gz 34MB 211MB 6,813,347

Formato de salida

...
0.0.0.0 ejemplo.com
0.0.0.0 ejemplo.org
...

6. Nginx ngx_http_access_module compatible con denylists IPv4/IPv6 en notación CIDR

Una lista que contiene los rangos IPv4 y IPv6 en notación CIDR formateada para ngx_http_access_module. El archivo puede utilizarse en la configuración de Nginx para bloquear direcciones IP maliciosas. La denylist contiene los IoC activos el día anterior a la exportación.

Tamaño medio de los archivos

Sufijo del archivo Tamaño medio del archivo comprimido con gzip Tamaño medio del archivo descomprimido Registros
nginx-acceso.v4.gz 5,1MB 30 MB 1,352,895
nginx-access.v6.gz 5,6MB 44MB 1,499,909

Formato de salida

... deny 203.0.113.1; deny 2001:0db8:85a3::8a2e:0370:7334; ...

7. Denylsts IPv4/IPv6 en bruto

Una denylist en texto simple que contiene direcciones IPv4/IPv6 para bloquear. Puede utilizarse en el servidor web o en la configuración del cortafuegos. La denylist contiene las IoC activas el día anterior a la exportación.

Tamaño medio de los archivos

Sufijo del archivo Tamaño medio del archivo comprimido con gzip Tamaño medio del archivo descomprimido Registros
deny-ips.v4.gz 3,1MB 13MB 929,017
deny-ips.v6.gz 3,4MB 19MB 933,565

Formato de salida

...
203.0.113.1
2001:0db8:85a3::8a2e:0370:7334
...

8. Denylist de dominio en bruto

Un archivo de texto simple que contiene los dominios que bloquear. Puede utilizarse en la configuración del servidor web o del cortafuegos. La denylist contiene los IoC activos el día anterior a la exportación.

Tamaño medio de los archivos

Sufijo del archivo Tamaño medio del archivo comprimido con gzip Tamaño medio del archivo descomprimido Registros
deny-domains.gz 32MB 159MB 6,813,347

Formato de salida

... example.com example.org ...

9. Denylist de CIDR en bruto

Una denylist en texto simple que contiene rangos de direcciones IP en notación CIDR para bloquear. Puede utilizarse en el servidor web o en configuración de cortafuegos. La denylist contiene todos los IoCs activos de las últimas 24 horas.

Tamaño medio de los archivos

Sufijo del archivo Tamaño medio del archivo comprimido con gzip Tamaño medio del archivo descomprimido Registros
deny-cidrs.v4.gz 4,6MB 23MB 1,352,895
deny-cidrs.v6.gz 5,5MB 36MB 1,499,909

Formato de salida

...
deny 1.0.0.0/32;
deny 1.0.1.21/32;
...

10. Rangos maliciosos IPv4/IPv6 en los feeds de datos de notación CIDR

Una denylist en texto simpl que contiene rangos de direcciones IP en notación CIDR para bloquear. Puede utilizarse en la configuración de servidores web o cortafuegos.

Tamaño medio de los archivos

Sufijo del archivo Tamaño medio del archivo comprimido con gzip Tamaño medio del archivo descomprimido Registros
malicious-cidrs.v4.csv.gz 9,5MB 64MB 1,853,752
malicious-cidrs.v4.jsonl.gz 11MB 133MB 1,853,752
malicious-cidrs.v6.csv.gz 11MB 83MB 2,000,874
malicious-cidrs.v6.jsonl.gz 12MB 158MB 2,000,874

Formato de salida

cidr,threatType,firstSeen,lastSeen
1.0.0.0/32,ataque,1678412656
1.0.1.21/32,attack,1678360646
...

Parámetros de salida

cidr
IoC: rangos IPv4 y IPv6 en notación CIDR . El feed IPv6 también contiene rangos IPv4 representados en la notación IPv6 .
threatType
El tipo de amenaza asociado al IoC. Uno de los siguientes: ataque, botnet, c2, malware, phishing, spam, suspicious, tor, generic.
firstSeen
Registro UNIX de fecha y hora en que se detectó la actividad por primera vez.
lastSeen
Registro UNIX de fecha y hora en que se detectó la actividad por última vez.

Descarga a través de HTTPS

Descarga a través de FTP

  • Alojamiento: datafeeds.whoisxmlapi.com
  • Puerto: 21210
  • Nombre de usuario: 'user'
  • Contraseña: igual a su Clave API personal que puede obtener en la página Mis productos.
  • Ruta base: ftp://datafeeds.whoisxmlapi.com:21210
  • Carpeta: Threat_Intelligence_Data_Feeds

Descarga a través de FTPS

Más información sobre conexión FTPS: https://en.wikipedia.org/wiki/FTPS.

Nuestro servidor FTP admite el cifrado FTP explícito sobre TLS. Puede configurar su cliente FTP para utilizar FTP explícito sobre TLS para comunicaciones seguras.

Se accede a nuestro servidor FTPS utilizando las mismas rutas y claves API que a un servidor FTP normal, cuyas instrucciones para ello se describen más arriba. Para conectarse mediante FTPS, seleccione la opción "Requerir FTP explícito sobre TLS" en su cliente FTP, si lo admite. Ejemplo de configuración de FileZilla:

encriptación explícita FTP sobre TLS