Nuestros datos de Passive DNS y las Blocklists ampliadas proporcionan información adicional para tener más clara la actividad maliciosa. Esto ayuda a equipos e investigadores a acelerar las investigaciones y verificar amenazas potenciales.

Muchos de estos datasets están disponibles vía la Spamhaus Intelligence API, y Passive DNS está disponible mediante un portal web o un feed de datos continuo. El plan Passive DNS PRO está disponible para una prueba gratuita de 30 días, y nuestra suscripción al Passive DNS básico es gratuita.

PDNS

Passive DNS

Los datos de Passive DNS se recopilan con sondas especiales que se activan mediante el DNS Resolver. Las sondas registran datos anónimos cada vez que el DNS Resolver no puede entregar un nombre de dominio desde sus cachés y envía una solicitud a otro servidor de nombres (falta de caché).

Los datos de Spamhaus se recopilan mediante varios servidores DNS recursivos en todo el mundo. Una amplia red de proveedores de servicio y una comunidad de investigadores de seguridad que están dedicados a combatir el abuso de DNS comparten esta información por el bien de Internet.

Los investigadores del The Spamhaus Project usan diariamente los datos de Passive DNS en sus investigaciones y cacería de amenazas.

Los siguientes registros están listados en la información de Passive DNS de Spamhaus: A, AAA, NS, MX, CNAME, TXT, SPF, SOA, SRV, PTR. Todos los registros incluyen marca de fecha y hora.

Hay varias funciones de búsqueda disponibles en la herramienta Passive DNS de Spamhaus; estas funciones simplifican y agilizan la capacidad de buscar entre los millones de registros listados en Passive DNS.

eXBL

Blocklist de eXploits ampliada

Este dataset lista las direcciones IP que pertenecen a dispositivos que muestran señales de vulnerabilidad. Esto puede incluir tráfico de dispositivos de Internet de las cosas (IoT) además del spam más tradicional. A continuación, presentamos las posibles razones que puede tener nuestro equipo de investigación para listar las IP en eXBL:

  • – Infecciones con malware
  • – Infecciones con troyanos
  • – Infecciones con gusanos
  • – Dispositivos controlados por comandos y controladores (C&C) de botnets
  • – Exploits de terceros, como los proxys abiertos.

Los metadatos en la eXBL incluyen: marca temporal de la última conexión, nombre de la botnet que controla los nodos infectados, dirección IP y número de puerto del servidor de comando y control de algunas conexiones, países donde se localizan los dispositivos comprometidos y el tipo de malware usado para hacer exploit en los dispositivos.

Estos datos están disponibles vía la Spamhaus Intelligence API (SIA) para permitir una integración fácil con los SIEM y SOC, además de otras aplicaciones de seguridad y presentación de informes.

Los desarrolladores pueden obtener acceso gratuito y limitado mediante nuestra Licencia de desarrollador.

eCSS

Blocklist de CSS ampliada

Este dataset solo se enfoca en el tráfico SMTP, es decir, detecciones basadas en el puerto-25.  Su objetivo es el spam y otras fuentes de mala reputación. Entre los desencadenantes para estar en la lista de CSS tenemos:

  • – Enviar en masa correos electrónicos no solicitados
  • – Tener poca higiene en la lista de marketing de distribución por correo electrónico
  • – Enviar correos maliciosos debido a cuentas, formularios web o sistemas de gestión de contenido (CMS) comprometidos.

Los metadatos de la eXBL incluyen la marca temporal de fecha del primer avistamiento así como de la última conexión, la cadena HELO usada en la sesión SMTP que detonó la detección y la geolocalización de la dirección IP.

Estos datos están disponibles vía la Spamhaus Intelligence API (SIA) para permitir una integración fácil con los SIEM y SOC, además de otras aplicaciones de seguridad y presentación de informes.

Los desarrolladores pueden obtener acceso gratuito y limitado mediante nuestra Licencia de desarrollador.

eDBL

Blocklist de dominios mejorada

Esta lista proporciona información detallada acerca de todas las listas de dominio y está disponible vía una API. Así puedes hacer una solicitud al motor DBL, que devuelve un registro JSON para cada dominio que estás investigando.

La Blocklist de dominios mejorada (eDBL) te ayuda a rastrear la calificación de un dominio en particular durante un periodo más largo o combinar los datos de la Blocklist de dominios con información de tu plataforma de inteligencia contra amenazas.

Datos incluidos en la eDBL: Calificación DBL, la fecha en la que se vio el dominio por primera y última vez, además de los campos de datos adicionales.

Para conocer más acerca de la eDBL, o para obtener una prueba gratuita de 30 días, completa nuestro formulario de contacto.