DomainTools数据产品说明书

132-6179-10182026年3月伏羲智库DomainTools中国地区独家合作伙伴北京市海淀区奥北科技园领智中心B座6层2026年3月伏羲智库DomainTools中国地区独家合作伙伴北京市海淀区奥北科技园领智中心B座6层132-6179-1018全球最大的被动DNS数据库DNSDB，安全信息交换平台SIEDomainTools产品手册DomainTools产品手册一、IrisAPIsIris是一款综合性威胁情报平台，可简化整个安全工作流程，涵盖主动发现、深度调查到自动化情报补充全流程。IrisDetect能够主动发现恶意域名及仿冒域名；IrisEnrich可为安全信息与事件管理（SIEM）和安全编排自动化与响应（SOAR）平台的各类指标大规模自动补充关联信息；IrisInvestigate则支持对攻击者基础设施进行深度分析与拓扑绘制。特点支持批量查询（如一次100域名）可接入SIEM（Splunk/QRadar等）用于自动化安全分析1.1IrisDetectAPI域名检测1.1.1用途IrisDetect是一款用于发现、告警和分类相似域名的工具。它能够快速发现包含您监控关键词的拼写错误变体的域名，并通过针对特定域名模式发出警报，实现关键词监控、网络防御和威胁行为者追踪。1.1.2功能特性快速发现和风险评分：在几分钟内快速识别和评估潜在恶意域名的风险。可自定义的监控器：通过网页界面创建和编辑监控器，并根据搜索词和模糊匹配进行近乎实时的更新。自动化功能：自动执行检测和升级操作，包括提交给GoogleWebRisk和跟踪提交状态。API访问：利用IrisDetectAPI进行程序化搜索、过滤、监视列表和域名升级。高级搜索和模糊测试：采用精确匹配、完整域名匹配、模糊匹配、国际化域名匹配和变体匹配，以全面发现域名。筛选和排序：突出显示域名基础架构的最新变化，并按风险评分和顶级域名等各种标准筛选/排序域名。1.1.3用例关键词监控：主动识别并接收新注册的域名抢注公司关键词的警报。网络防御：识别欺骗内部企业技术堆栈资产（例如SSO提供商）或关键合作伙伴的域名，并跟踪冒充员工经常使用的供应链基础设施的域名。自动化安全工作流程：将IrisDetect集成到现有安全操作中，以实现自动检测和升级。品牌保护：主动识别并接收有关新注册的、拼写抢注您公司品牌的域名的警报。1.2IrisInvestigateAPI调查分析1.2.1用途IrisInvestigate借助企业级域名情报与风险评分技术，助力安全专业人员开展深度分析并绘制对手基础设施图谱。1.2.2功能特性威胁情报：可访问海量数据资源库，涵盖域名系统、被动域名系统、网页截图、网页内容、域名注册数据（WHOIS与RDAP）、传输层安全证书、风险评分等多类信息。基础设施测绘：对关联数据节点进行可视化展示与关联跳转，绘制攻击者基础设施图谱。域名风险评分：评估域名风险等级，快速识别潜在威胁。直观易用的用户界面：操作简便的网页界面，支持人工调查分析。应用程序编程接口调用：将IrisInvestigate数据集成至现有安全工具与工作流程中。1.2.3用例威胁狩猎：通过在数据点之间进行跳转来主动搜索威胁。事件响应：通过绘制相关基础设施图，快速了解攻击范围。调查网络犯罪：通过探索互联基础设施，发现威胁并调查网络犯罪。1.3IrisEnrichAPI1.3.1用途IrisEnrich是一款专为与SIEM（安全信息与事件管理）和SOAR（安全编排自动化与响应）等高容量安全工作流程进行程序化集成而设计的API。其核心功能是获取域名（例如来自安全警报的域名），并自动添加关键上下文信息。这些信息包括域名的风险评分和注册人详细信息等，从而实现自动化分类并加快事件响应速度。1.3.2功能特性API优先设计：专为以程序化方式集成到高容量安全工作流程中而构建。上下文丰富化：为入侵指标添加关键上下文，包括域名风险评分、DNS托管基础设施和注册详情。SIEM/SOAR集成：与流行的SIEM和SOAR平台无缝集成。高容量查询：旨在处理大量自动化工作流程的请求。1.3.3用例自动分类：自动丰富SIEM或SOAR中的警报，以优先处理最关键的威胁。更快的事件响应：为您的安全团队提供他们所需的背景信息，以便更快、更有效地响应事件。提高警报准确性：通过添加额外数据来丰富警报，从而减少误报。二、ThreatFeeds威胁信息流通过精心整理的恶意和可疑基础设施指标列表，实现主动网络安全。威胁情报源可将实时情报直接传输到您的安全工具，使您能够在威胁造成损害之前将其拦截。您无需被动应对攻击，即可将这些数据集成到防火墙、代理服务器和安全信息与事件管理(SIEM)等系统中，从而自动防御利用新型或高风险域名的威胁。实时数据交付：在观察到威胁后的几分钟内即可获取最新的威胁情报，这对于阻止利用临时（短寿命）域名的攻击至关重要。可配置轮询频率：根据您的运营需求定制数据检索，更新频率最高可达每1分钟一次。全面的历史数据：通过下载API获取最多90天的历史数据，确保不会遗漏任何数据。多样化的威胁情报源：访问各种专门的情报源，包括新发现的域名、高风险域名和域名注册变更等情报源，以满足特定的威胁情报需求。可靠的数据连续性：通过防止数据丢失或重复的机制，确保无缝数据摄取，从而实现持续不间断的威胁监控。细粒度过滤：利用域模式过滤有效地缩小威胁数据范围，减少对大量下游处理的需求。三、FarsightDNSDB被动DNS数据库3.1DNSDBScoutDNSDBScout是FarsightDNSDBAPI的图形用户界面。它可以查询被动DNS数据、调查威胁并探索DNS历史记录。它可通过网站或浏览器扩展程序在所有主流浏览器中使用，支持DNSDBAPI的所有主要功能，包括：用于进行查询的仪表板API密钥状态跟踪器Punycode支持转换国际化域名(IDN)查询筛选器，例如时间限制、记录类型和管辖范围本地存储的最近查询历史记录，以便稍后重新加载和重新运行将结果导出为CSV、JSON、TXT和PDF格式还有更多精彩内容！3.2DNSDBAPIDNSDB是一个数据库，它存储并索引了通过FarsightSecurity的安全信息交换平台（SecurityInformationExchange，SIE）提供的被动DNS数据，以及各个区域运营商提供的权威DNS数据。DNSDB使用户能够轻松搜索单个DNS资源记录集(RRset)，并为搜索结果提供额外的元数据，例如首次出现和最后出现时间戳，以及与RRset关联的DNS管辖区。四、FarsightSIESIE，SecurityInformationExchange，安全信息交换平台。SIE让您能够实时访问来自我们全球传感器网络的数据。这些数据包括每秒超过50万条被动DNS(pDNS)观测值，以及其他关键安全数据点。DomainTools将这些数据处理成可用的格式，并通过实时通道进行流式传输，并为您提供适用于您实际应用场景的工具。可通过以下机制访问SIE通道：SIEBatch是一个Web界面和RESTAPI，可以访问您订阅的源中最近12-18小时的数据。SIE远程访问在SIE和分析师的系统之间建立隧道，并支持RESTAPI。SIEDirectConnect是一台预装了SIE工具的租赁刀片服务器，可直接访问SIE网络。下表为每个通道的通道号、名称、描述、比特率、有效载荷速率和备注。除非另有说明，所有通道均提供NMSG和JSON格式。通道号名称描述比特率有效载荷备注24垃圾邮件已满Spam-Full会将发送到垃圾邮件陷阱系统的所有垃圾邮件的完整副本共享出去。这些蜜罐系统配置为收集并存储所有电子邮件以供分析，它们使用的电子邮件地址从未用于接收电子邮件，或者已不再使用且不应接收电子邮件。2.4kbps（104kbps）2/秒（14/秒）25垃圾邮件选择Spam-Select会将发送到邮件蜜罐/垃圾邮件陷阱系统的垃圾邮件中的关键字段共享出去。这些垃圾邮件陷阱系统配置为收集并存储所有电子邮件以供分析，它们使用的电子邮件地址从未用于接收电子邮件，或者已不再使用且不应再接收电子邮件。2kbps（105kbps）1/秒（3/秒）27钓鱼网址包括网址、目标品牌以及其他与网络钓鱼活动相关的信息。<1kbps(2kbps)<1/秒（2/秒）42IDS和防火墙日志数据入侵检测系统(IDS)和防火墙设备拦截的网络流量信息。数据经过匿名化处理，并每五分钟进行一次批量处理。7Mbps（35Mbps）390/秒（2kbps）不支持AXAMD平台。80Conficker沉洞从受Conficker感染的客户端到“黑洞”命令和控制服务器的HTTP连接信息。385kbps（520kbps）210/秒（280/秒）不支持AXAMD平台。115DDoS事件基于对来自未使用网络空间的捕获网络数据包的分析，发现了DDoS和DRDoS（分布式反射拒绝服务）攻击的证据。<1kbps(<1kbps)<1/秒（1.5/秒）207DNSDB去重数据去重处理阶段之后、验证阶段之前进行的被动DNS观测。144Mbps（170Mbps）无法通过远程访问或AXAMD获取；批处理文件以NMSG格式提供。208DNSDB已验证数据删除重复的被动DNS数据，并删除低值条目，并验证数据是否符合balliwick标准（删除误导性的资源记录信息）。88Mbps（117Mbps）无法通过远程访问或AXAMD获取；批处理文件以NMSG格式提供。211新活跃域(NAD)先前观察到的域名（通过204频道）在10天或更长时间不活动后重新活跃。62kbps（900kbps）53/秒（760/秒）212新发现域（NOD）SIE之前未观测到的域。3kbps（18kbps）2/秒（13/秒）213新发现的主机名(NOH)与DNSDB历史数据库相比，以前从未见过的完全限定域名(FQDN)。正在审核中待定214DNS更改DNSDB无法识别的域名、主机名或记录数据，可能是因为数据指向新的域名或主机名，也可能是因为域名或主机名的记录数据发生了更改。这些更改可能包括新的资源记录类型、新的或已更改的IP地址，或者域名的权威名称服务器发生了更改。

4.9Mbps（8Mbps）待定不支持