Shodan
集成版本:11.0
配置 Shodan 集成以与 Google Security Operations 搭配使用
如需获取 API 密钥,请完成以下步骤:
登录您的 Shodan 账号。
您可以在 Shodan 界面的账号概览部分中找到您的 API 密钥。
在 Google SecOps 中配置 Shodan 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
操作
DNS 解析
说明
查找所提供的主机名列表的 IP 地址。
参数
不适用
运行于
此操作在 Hostname 实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| google.com | 返回 JSON 结果中是否存在相应值 |
| bing.com | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"google.com": "1.1.1.1",
"bing.com": "1.1.1.1"
}
DNS 反向
说明
查找已为指定 IP 地址列表定义的主机名。
参数
不适用
运行于
此操作在 IP 地址实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 146.125.10.5 | 返回 JSON 结果中是否存在相应值 |
| 8.8.8.8 | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"146.125.10.5": null,
"8.8.8.8": [
"google-public-dns-a.google.com"
]
}
获取 API 信息
说明
返回有关指定 API 密钥所属 API 方案的信息。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"https": false,
"unlocked": false,
"unlocked_left": 0,
"telnet": false,
"scan_credits": 0,
"plan": "oss",
"query_credits": 0
}
获取 IP 信息
说明
获取有关 IP 的所有可用信息。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 返回历史横幅 | 布尔值 | false | 如果应返回所有历史横幅,则为 True。 |
| 设置缩减大小 | 布尔值 | false | 如果为 true,则仅返回端口列表和一般主机信息,不返回横幅。 |
运行于
此操作在 IP 地址实体上运行。
操作执行结果
实体扩充
| 扩充项字段名称 | 逻辑 - 应用场景 |
|---|---|
| 数据 | 返回 JSON 结果中是否存在相应值 |
| _shodan | 返回 JSON 结果中是否存在相应值 |
| id | 返回 JSON 结果中是否存在相应值 |
| 爬虫 | 返回 JSON 结果中是否存在相应值 |
| 选项 | 返回 JSON 结果中是否存在相应值 |
| module | 返回 JSON 结果中是否存在相应值 |
| ptr | 返回 JSON 结果中是否存在相应值 |
| 哈希 | 返回 JSON 结果中是否存在相应值 |
| opts | 返回 JSON 结果中是否存在相应值 |
| 原始 | 返回 JSON 结果中是否存在相应值 |
| isp | 返回 JSON 结果中是否存在相应值 |
| 端口 | 返回 JSON 结果中是否存在相应值 |
| 主机名 | 返回 JSON 结果中是否存在相应值 |
| 位置 | 返回 JSON 结果中是否存在相应值 |
| city | 返回 JSON 结果中是否存在相应值 |
| country_name | 返回 JSON 结果中是否存在相应值 |
| region_code | 返回 JSON 结果中是否存在相应值 |
| area_code | 返回 JSON 结果中是否存在相应值 |
| dma_code | 返回 JSON 结果中是否存在相应值 |
| country_code3 | 返回 JSON 结果中是否存在相应值 |
| postal_code | 返回 JSON 结果中是否存在相应值 |
| longitude | 返回 JSON 结果中是否存在相应值 |
| country_code | 返回 JSON 结果中是否存在相应值 |
| 纬度 | 返回 JSON 结果中是否存在相应值 |
| resolver_hostname | 返回 JSON 结果中是否存在相应值 |
| recursive | 返回 JSON 结果中是否存在相应值 |
| resolver_id | 返回 JSON 结果中是否存在相应值 |
| 软件 | 返回 JSON 结果中是否存在相应值 |
| 时间戳 | 返回 JSON 结果中是否存在相应值 |
| 网域 | 返回 JSON 结果中是否存在相应值 |
| org | 返回 JSON 结果中是否存在相应值 |
| os | 返回 JSON 结果中是否存在相应值 |
| asn | 返回 JSON 结果中是否存在相应值 |
| transport | 返回 JSON 结果中是否存在相应值 |
| ip_str | 返回 JSON 结果中是否存在相应值 |
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
[
{
"EntityResult": {
"data": [
{
"_shodan": {
"id": "d670bfbb-4821-4320-969d-0590789ab502",
"crawler": "545144fc95e7a7ef13ece5dbceb98ee386b37950",
"options": {},
"module": "dns-udp",
"ptr": true
},
"hash": -553166942,
"opts": {
"raw": "34ef818200010000000000000756455253494f4e0442494e440000100003"
},
"ip": 134744072,
"isp": "Google",
"data": "nRecursion: enabled",
"port": 53,
"hostnames": ["google-public-dns-a.google.com"],
"location": {
"city": null,
"region_code": null,
"area_code": null,
"dma_code": null,
"country_code3": "USA",
"country_name": "United States",
"postal_code": null,
"longitude": -97.822,
"country_code": "US",
"latitude": 37.751000000000005
},
"dns": {
"resolver_hostname": null,
"recursive": true,
"resolver_id": null,
"software": null
},
"timestamp": "2019-01-29T12:36:09.300695",
"domains": ["google.com"],
"org": "Google",
"os": null,
"asn": "AS15169",
"transport": "udp",
"ip_str": "1.1.1.1"
}
],
"city": null,
"region_code": null,
"tags": [],
"ip": 134744072,
"isp": "Google",
"area_code": null,
"dma_code": null,
"last_update": "2019-01-29T12:36:09.300695",
"country_code3": "USA",
"country_name": "United States",
"hostnames": ["google-public-dns-a.google.com"],
"postal_code": null,
"longitude": -97.822,
"country_code": "US",
"ip_str": "1.1.1.1",
"latitude": 37.751000000000005,
"org": "Google",
"os": null,
"asn": "AS15169",
"ports": [53]
},
"Entity": "1.1.1.1"
}
]
Ping
说明
验证用户是否通过自己的设备连接到 Shodan。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_connected | True/False | is_connected:False |
JSON 结果
N/A
扫描网络
说明
使用 Shodan 扫描网络。Shodan 至少每月会抓取整个互联网一次,但如果您想请求 Shodan 立即扫描某个网络,可以使用该 API 的按需扫描功能。
参数
不适用
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
N/A
启用用户
说明
更新用户属性 - 启用用户。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 用户名 | 整数 | 不适用 | CyberArkVault 中存在的完整用户名。 |
运行于
此操作在 IP 地址实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| success_scan | True/False | success_scan:False |
JSON 结果
N/A
搜索
说明
搜索 Shodan 数据库。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 搜索查询 | 0 | 不适用 | 搜索查询;语法与网站相同。例如,查找位于德国的 Apache 网络服务器(apache country:'DE', city:'Berlin')。 |
| 分面 | 0 | 不适用 | 要获取摘要信息的房源的英文逗号分隔列表。属性名称也可以采用“property:count”格式。(即国家/地区:100,城市:5)。如需了解详情,请访问 https://developer.shodan.io/api。 |
| 设置缩减大小 | 1 | false | 是否缩小横幅并仅返回重要数据。 |
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"matches": [
{
"timestamp": "2014-01-15T05: 49: 56.283713",
"isp": "Vivacom",
"data": "@PJL INFO STATUS CODE=35078 DISPLAY=Power Saver ONLINE=TRUE",
"port": 9100,
"hostnames": [],
"location": {
"city": null,
"region_code": null,
"area_code": null,
"longitude": 25,
"country_code3": "BGR",
"country_name": "Bulgaria",
"postal_code": null,
"dma_code": null,
"country_code": "BG",
"latitude": 43
},
"ip": 3579573318,
"domains": [],
"org": "Vivacom",
"os": null,
"asn": "AS8866",
"ip_str": "1.1.1.1"
}
],
"facets": {
"org": [
{
"count": 107,
"value": "UniversityofMinnesota"
}
]
},
"total": 12039
}
搜索漏洞
说明
搜索各种数据源中的漏洞,并使用过滤条件获取摘要信息。
参数
| 参数 | 类型 | 默认值 | 说明 |
|---|---|---|---|
| 搜索查询 | 字符串 | 不适用 | 用于搜索已知漏洞数据库的搜索查询。 |
| 分面 | 字符串 | 不适用 | 要获取摘要信息的房源的英文逗号分隔列表。(即端口、来源、作者)。如需了解详情,请访问 https://developer.shodan.io/api。 |
| 页面 | 字符串 | 不适用 | 用于对结果进行分页的页码,每次分页 100 个结果。 |
运行于
此操作会在所有实体上运行。
操作执行结果
实体扩充
不适用
数据分析
不适用
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"matches": [
{
"cve": "CVE-2011-2064",
"description": "Cisco IOS 12.4MDA before 12.4(24)MDA5 on the Cisco Content Services Gateway - Second Generation (CSG2) allows remote attackers to cause a denial of service (device reload) via crafted ICMP packets, aka Bug ID CSCtl79577.",
"osvdb": [73657],
"bid": [48581],
"source": "CVE",
"_id": "2011-2064",
"msb": []}],
"facets": {
"type": [
{
"count": 1,
"value": "remote"
}
]
},
"total": 4
}
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。