可以通过接口查询平台通过收集或分析产生的情报信息。
    安全情报内容包括情报ID、情报名称、IOC类型、置信度、情报类型、运营商、组织名称、标签、md5、cveID、情报关联厂商、数据来源、原始事件等。

    请求地址:/open/api/v1/retrieval/getThreadList
    接口类型: HTTP
    请求方式:POST
    请求参数:

    序号 字段名称 中文名称 字段说明 字段长度 必填/可选 说明
    1 user 第三方系统用户名 文本 10 必填
    2 timestamp 请求发起时间戳 整数 64 必填
    3 sign md5(timestamp+user+token) 字符 32 必填
    4 data.startTime 开始时间 字符
    		必填
    5 data.endTime 结束时间 字符
    		必填
    6 data.iocManufacturer 情报关联厂商 字符
    		必填
    7 data.pageNo 第几页 整数
    		可选
    8 data.pageSize 每页大小 整数
    		可选

    注意:pageSize不传时返回10000条

    请求示例:

    1. {
    2.   user”: username”,           
    3.   timestamp”: 1608616211,    
    4.   sign”: xxxxxx,
    5.   data”:  {
    6.   startTime”: 2021-09-07 00:00:00”,
    7.   endime”: 2021-11-07 00:00:00”,
    8.   iocManufacturer”: 360”,
    9.   pageNo”: 1,
    10.   pageSize”: 100
    11.   }
    12. }

    返回参数:

    序号 字段名称 中文名称 字段说明 说明
    1 errorCode 接口状态码 字符
    2 errorMessage 接口消息 字符
    3 success 是否成功 布尔 true:成功
    false:错误
    4 data.pageNo 当前第几页 整数
    5 data.pageSize 每页大小 整数
    6 data.total 总共条数 整数
    6 data.totalPages 总共页数 整数
    8 data.result 数组对象具体的对象数据 对象

    data.result包含的字段:

    序号 字段名称 中文名称 字段说明 字段长度 必填/可选 说明
    1 id 情报ID 字符 50 必填 情报唯一ID
    2 subject 情报指示器IOC 字符 100 必填 情报指示器IOC,对应的IP 域名等
    3 subjectType IOC类型 字符 50 必填 IOC类型,IP,域名,URL,文件HASH,邮箱
    4 score 分值 对象

    		对象,对象属性包括confidenceLevel,详见下表
    5 enable 是否生效 布尔 10 必填 是否生效 true生效,false不生效
    6 threatIntelligenceType 情报类型 枚举 100 必填 情报类型”恶意,正常,黑客组织,监管单位”
    7 operator 运营商 枚举 10 可选 运营商 “中国移动,中国联通,中国电信,其他”
    8 organization 组织名称 字符 100 可选 组织名称
    9 geo 区域 对象

    		对象,对象属性包括city、countryName、province,详见下表
    10 tags 标签 对象数组

    		对象数组,对象属性包括description、intelligenceAlarmName、mclass、origin、sclass、tagType,详见下表
    11 iocMd5 文件情报md5值 字符 100 可选 文件情报md5值
    12 cveID cveID 字符
    		可选 cve ID
    13 iocManufacturer 情报关联厂商 字符 50 可选 情报关联厂商
    14 dataFrom 数据来源 字符 50 必填 调用接口数据来源
    15 rawIOCData 原始情报 字符
    		必填 原始情报,其他字段等,填入原始漏洞整个json串

    score包含的字段:

    序号 字段名称 中文名称 字段说明 字段长度 必填/可选 说明
    1 confidenceLevel 置信度 枚举 10 必填 枚举值:{“高置信”:0.8,”中置信”:0.6,”低置信”:0}

    geo包含的字段:

    序号 字段名称 中文名称 字段说明 字段长度 必填/可选 说明
    1 city 地区 字符 30 可选 地区城市
    2 countryName 国家 字符 30 可选 国家
    3 province 省份 字符 30 可选 xx省对应的代码

    tags包含的字段:

    序号 字段名称 中文名称 字段说明 字段长度 必填/可选 说明
    1 description 情报标签描述 字符 1000 可选 tags: 情报标签描述
    2 intelligenceAlarmName 情报告警名称 字符 100 必填 tags: 情报告警名称
    3 mclass 自定义类别 字符 50 必填 tags: 自定义类别
    4 origin 数据来源 字符 20 可选 tags: 数据来源
    5 sclass 自定义类别对应的值 字符 50 可选 tags: 自定义类别对应的值
    6 tagType 标签类型 字符 100 必填 tags: 枚举值多选一

    返回示例:

    1. {
    2.     "success": true,
    3.     "errorCode": null,
    4.     "errorMessage": null,
    5.     "data": {
    6.         "pageNo": 1,
    7.         "pageSize": 10,
    8.         "result": [
    9.             {
    10.                 "id":"唯一id值",
    11.                 "subject":"1.1.1.1",         //情报指示器IOC,对应的IP 域名等 string, 必填】
    12.                 "subjectType""ip"     //IOC类型,ip,域名,URL,文件HASH,邮箱【string, 必填】
    13.                 "score": {                
    14.                 "confidenceLevel": 0.8 //置信度【enum, 必填】{"高置信":0.8,"中置信":0.6,"低置信":0,} 
    15.             }
    16.             "enable": true,               //是否生效  true生效,false不生效【布尔值,必填】
    17.             "threatIntelligenceType":"恶意", //情报类型"恶意,正常,黑客组织,监管单位"enum, 必填】
    18.             "operator":"中国移动",  //运营商 "中国移动,中国联通,中国电信,其他"enum, 选填】
    19.             "organization":"", //组织名称 string, 选填】
    20.             "geo": {
    21.             "city": "地区",          //地区城市【string, 选填】
    22.             "countryName": "国家",  //国家【string, 选填】
    23.             "province": "省份"      //xx省对应的代码【string, 选填】
    24.             },
    26.     "tags": [    // 标签是数组对象
    27.         {
    28.             "description": "描述",\\情报标签描述【string, 选填】
    29.             "intelligenceAlarmName": "分类:1",  \\情报告警名称【string, 必填】
    30.             "mclass": "分类",  \\自定义类别【string, 必填】
    31.             "origin": "来源",   \\数据来源【string, 选填】
    32.             "sclass": "1",      \\自定义类别对应的值【string, 选填】
    33.             "tagType": "SECURITYEVENT" \\枚举值多选一【string, 必填】
    34.         }
    35.     ],
    36.     "iocMd5":"",\\文件情报md5值【string, 选填】
    37.     "cveID":"",\\cve ID
    38.     "iocManufacturer":"", \\情报关联厂商【string, 选填】
    39.     "dataFrom":"调用接口上传情报的单位名称" ,     //数据来源 string, 必填】
    40.     "rawIOCData":"",//原始情报,其他字段等,填入原始漏洞整个json串【string, 必填】
    41. }
    42. ],
    43. "total": 32872,
    44. "totalPages": 32872
    45. }
    46. }

    情报数据补充:
    1)IOC类型 subjectType
    上传对应的英文
    “domain”:”域名”,
    “file”:”文件HASH”,
    “ip”:”ip”,
    “email”:”邮箱”

    2)标签类别 tagType
    上传对应的英文单词
    “OBSERVEDDATA”:”观测数据”,”ATTACKINDEX”:”攻击指标”,
    “SECURITYEVENT”:”安全事件”,”ATTACKACTIVITY”:”攻击活动”,
    “THREATSUBJECT”:”威胁主体”,”ATTACKTARGET”:”攻击目标”,
    “ATTACKMETHOD”:”攻击方法”,”COUNTERMEASURE”:”应对措施”,
    “OTHER”:”其他”,”BEHAVIOUR”:”行为”,”ORGANIZATION”:”组织”,
    “FAMILY”:”家族”,”DOUBTABLE”:”可疑的”,”EVENT”:”事件”,
    “DEFAULT”:”default”}

    3)标签分类 mclass
    mclass情报可疑加多个标签,标签有类别,自定义字符串
    比如:授权问题,跨站请求伪造,跨站脚本,注入,代码问题等
    特别说明:关于dataFrom的传值约定
    dataFrom指的应是哪个第三方业主单位向本平台提供了相应数据,这个业主单位不应该是厂商(当对接方确实是一个厂商时,他一定服务于某一个业主单位),因为发现厂商和关联厂商(discoverFactory、iocManufacturer)已有独立字段。
    举例说明:A厂商在XX省网信办项目上会调用接口发送事件、隐患、情报至态势平台,A厂商是替XX省网信办发送结果至态势平台,因此datafrom应该填”XX省网信办”,discoverFactory 下填写A厂商.