rf-enrich-ip-batch
Recorded Future API를 사용하여 IP 주소의 위협 정보를 조회합니다.
문법
rf-enrich-ip-batch [profile=PROFILE] field=FIELD [output=OUTPUT] [batch=BATCH] [verbose=VERBOSE]
- profile=PROFILE
- 선택 옵션. Recorded Future 접속 프로파일 식별자
- field=FIELD
- 필수 옵션. IP 주소가 담긴 입력 필드명
- output=OUTPUT
- 선택 옵션. 출력 필드 접두사. 기본값: rf_
- batch=BATCH
- 선택 옵션. 배치 크기 (1-1000). 기본값: 100
- verbose=VERBOSE
- 선택 옵션. 증거 정보 포함 여부 (t/f). 기본값: f
출력 필드
| 필드 | 타입 | 이름 | 설명 |
|---|---|---|---|
| rf_risk_score | 32비트 정수 | 위험 점수 | 전체 위험 점수 (0-99) |
| rf_risk_level | 32비트 정수 | 위험 레벨 | 전체 위험 레벨 (1-4) |
| rf_c2_score | 32비트 정수 | C2 점수 | C2 컨텍스트 점수 |
| rf_phishing_score | 32비트 정수 | 피싱 점수 | 피싱 컨텍스트 점수 |
| rf_public_score | 32비트 정수 | 공개 위협 점수 | 공개 위협 점수 |
| rf_public_rule | 문자열 | 공개 위협 규칙 | 예: Recent Phishing Host |
| rf_evidences | 배열 | 증거 | signature, rule, level, count, description, mitigation, sightings, timestamp 키를 포함한 증거 목록 |
| _error | 문자열 | 에러 | 유효하지 않은 입력에 대한 에러 메시지 |