Különböző káros kóddal fertőzött, káros kódot terjesztő, botnet vagy scan tevékenységet végző hosztok, és azokhoz fűződő adatok. A fertőzöttség leggyakrabban sinkhole technikával kerül felfedezésre.
Az adatmegosztásban használt mezők, és azok jelentése:
| Név |
Magyarázat |
| timestamp |
észlelt esemény időbélyege (UTC) |
| local ip |
érintett (forrás) IP cím |
| local port |
érintett (forrás) hálózati port |
| type |
esemény típusa |
| infection |
fertőzöttség megnevezése |
| url |
érintett URL |
| agent |
user agent (HTTP eseményeknél) |
| remote ip |
érintett (cél) IP cím |
| remote port |
érintett (cél) hálózati port |
| service provider |
érintett szolgáltató megnevezése |
| asn |
érintett szolgáltató ASN száma |
Az adatmegosztás vesszővel elválaszott fájlokkal történik (.csv formátum), amely az igénylő e-mail címére kerül megküldésre.
Péda:
timestamp,local,ip,local,port,type,infection,url,agent,remote,ip,remote,port,service,provider,asn
2022-06-05,01:50:33,xxx.255.xxx.43,2974,botnet/drone,downadup,GET,/search?q=5314,HTTP/1.0,Mozilla/4.0,(compatible;,MSIE,6.0;,Windows,NT,5.1;,SV1;,.NET,CLR,2.0.50727),xxx.214.xxx.152,80,Szolgáltató,ASxxx
2022-06-02,12:44:54,xxx.184.xxx.194,59183,botnet/drone,sality,/logo.gif?e5445086=-1345523310,NULL,xxx.104.xxx.205,80,Szolgáltató,ASxxx
2022-06-04,00:00:25,xxx.155.xxx.175,42090,darknet,mirai,NULL,NULL,NULL,2323,Szolgáltató,ASxxx
