読者です 読者をやめる 読者になる 読者になる

IBM X-Force Xchange

インテリジェンスサービス調査の一環で "IBM X-Force Xchange" を調査している。
"IBM X-Force Xchange" はIBMが提供する脅威情報プラットフォームであり、ゲストユーザーでも利用可能。
ただ、IBM IDが無料で作成できたので、IBM IDを作成して利用してみた。 exchange.xforce.ibmcloud.com

ポータルサイトからレピュテーションの低いドメインを検索すると、リスク値とwhois情報が検索結果として返ってくる。
以下の他社サービスとも連携可能であり、IBMのインテリジェンス情報と併せて調査できる仕様になっていた。 画像は "PhishTank" と "VirusTotal" を連携させた状態。

  • BotScout
  • PhishTank
  • Recorded Future
  • ReversingLabs
  • RiskIQ
  • VirusTotal

f:id:hs_work:20161230021847p:plain f:id:hs_work:20161230022250p:plain

また、API経由で直接データフィードも取得可能だった。
IBM X-Force Exchange API Documentationが公開されており、以下はCLIからレピュテーションの低いドメインを検索した例である。

# curl -X GET --header 'Accept: application/json' 'https://api.xforce.ibmcloud.com/url/ashpeptide.com' -u <API Key:API Password>
{"result":{"url":"ashpeptide.com","cats":{"Malware":true},"score":10,"categoryDescriptions":{"Malware":"This category contains Web sites that install data transmitting programs without the user's knowledge."}}}

ただし、API経由でのデータフィード取得は5000回までの回数制限があり、超過する場合はIBM Marketplaceでライセンス購入が必要になる。
ポータルサイトのリンクは404だったが、USのサイトにある "IBM X-Force Exchange Commercial API" が対象と思われる) www.ibm.com