Unsere Passive-DNS-Daten und verbesserten Blocklists liefern zusätzliche Einblicke und den Kontext zu bösartigen Aktivitäten. Dies hilft Sicherheits- und Rechercheteams dabei, Untersuchungen zu beschleunigen und potenzielle Bedrohungen zu verifizieren.

Viele dieser Datensätze sind über die Spamhaus Intelligence API verfügbar. Passive DNS ist über ein Webportal oder als kontinuierlicher Datenfeed verfügbar. Den Passive DNS PRO Plan gibt es als kostenlose 30-tägige Testversion. Unsere Basic-Version des DNS-Abonnements ist kostenlos .

PDNS

Passive DNS

Passive-DNS-Daten werden durch spezielle Sondierungen erfasst, die auf einem DNS-Resolver aktiviert werden. Bei der Sondierung werden anonymisierte Daten erfasst, sobald der Cache eines DNS-Resolvers keinen Domain Name liefert und er eine rekursive Anfrage an einen anderen Name Server sendet („cache miss“).

Spamhaus bezieht seine Daten über viele rekursive DNS-Server auf der ganzen Welt. Ein breit gefächertes Netzwerk von Serviceprovidern und eine Gemeinschaft von Sicherheitsexperten, die sich dem Kampf gegen DNS-Missbrauch verschrieben haben, verbreiten diese Daten zum Wohl des Internets.

Das Rechercheteam bei The Spamhaus Project nutzt Passive-DNS-Daten täglich bei seiner Recherchetätigkeit auf der Jagd nach neuen Bedrohungen.

Die folgenden Datensätze sind in den Passive-DNS-Daten von Spamhaus enthalten: A, AAA, NS, MX, CNAME, TXT, SPF, SOA, SRV und PTR. Jeder Datensatz ist mit einem Datums- und Zeitstempel versehen.

Im Spamhaus Passive DNS Tool sind verschiedene Suchfunktionen verfügbar, die das Durchsuchen der Milliarden von gelisteten Passive-DNS-Datensätzen vereinfachen und beschleunigen.

eXBL

Verbesserte eXploits Blocklist

Dieser Datensatz führt IP-Adressen von Geräten auf, die Anzeichen einer Beeinträchtigung aufweisen. Dies kann neben dem üblichen Spam zum Beispiel auch Verkehr von Geräten aus dem Internet der Dinge (IoT) sein. Potenzielle Gründe, aus denen unser Rechercheteam IP-Adressen in der eXBL listet:

  • Infektionen mit Malware
  • Infektionen mit Trojanern
  • Infektionen mit Würmern
  • Geräte, die von Botnets und Command-and-Controllers (C&Cs) kontrolliert werden
  • Missbräuchliche Nutzung durch Dritte, wie z. B. Proxies.

In der eXBL enthaltene Metadaten: Zeitstempel der letzten Verbindung, Name des die infizierten Knoten kontrollierenden Botnets, die IP-Adresse und Portnummer des Command-and-Control-Servers für bestimmte Verbindungen, die Länder, in denen sich die beeinträchtigten Geräte befinden und die Art der zur missbräuchlichen Nutzung der Geräte verwendeten Malware.

Diese Daten sind über die Spamhaus Intelligence API (SIA) verfügbar, um die problemlose Integration in SIEMs und SOCs sowie andere Sicherheits- und Berichtsprogramme zu ermöglichen.

Entwickler können über unsere Entwicklerlizenz begrenzten kostenlosen Zugriff beantragen.

eCSS

Verbesserte CSS-Blocklist

Dieser Datensatz konzentriert sich nur auf SMTP-Traffic, d. h. Port-25-basierte bekannte Verdachtsfälle,  z. B. Spam und andere Quellen mit schlechter Reputation. Auslöser für die CSS-Listung sind beispielsweise:

  • Unaufgeforderter Versand von Massen-E-Mails
  • Schlechte Pflege der E-Mail-Marketingliste
  • Versand bösartiger E-Mails aufgrund beeinträchtigter Konten, Webformen oder Content-Management-Systeme (CMS).

In der eXBL enthaltene Metadaten: Zeitstempel des ersten Auftretens und der letzten Verbindung, der in der SMTP-Sitzung, bei der es zur Erkennung kam, verwendete HELO-String und der geografische Standort der IP-Adresse.

Diese Daten sind über die Spamhaus Intelligence API (SIA) verfügbar, um die problemlose Integration in SIEMs und SOCs sowie andere Sicherheits- und Berichtsprogramme zu ermöglichen.

Entwickler können über unsere Entwicklerlizenz begrenzten kostenlosen Zugriff beantragen.

eDBL

Verbesserte Domain Blocklist

Diese über eine API verfügbare Liste liefert detaillierte Informationen über jede gelistete Domain. Auf diese Weise können Sie Abfragen an die DBL-Engine richten und einen JSON-Datensatz für jede untersuchte Domain erhalten.

Die Enhanced Domain Blocklist (eDBL) hilft Ihnen dabei, die Bewertung einer bestimmten Domain über einen längeren Zeitraum zu verfolgen oder Domain-Blocklist-Daten mit Informationen aus Ihrer eigenen Threat-Intelligence-Plattform zu kombinieren.

In der eDBL enthaltene Daten: DBL-Bewertung, das Datum, an dem die Domain erstmalig bzw. letztmalig gesichtet wurde sowie weitere Datenfelder.

Um mehr über die eDBL zu erfahren oder eine 30-tägige kostenlose Testversion zu erhalten, vervollständigen Sie bitte unser Kontaktformular.