Nos complace tenerle con nosotros en la continuación de nuestra serie de blogs "Libere el poder de Censys Search ", que trata sobre las formas de sacar el máximo partido a Censys Search. Hace poco hablamos de cómo los cazadores de amenazas y los equipos pueden trabajar de forma más inteligente con servicios emparejados, así como colaborar con etiquetas y comentarios.
En este post, vamos a profundizar en las ventajas de la selección de campos personalizados.
Vea lo que quiera ver
Los datos de hosts disponibles en Censys Search son masivos. En términos cuantificables, estamos hablando de un conjunto de datos que incluye más de 242 millones de hosts IPv4, más de 175 millones de hosts IPv6 y más de 1.200 hosts virtuales, todos los cuales pueden explorarse con miles de campos de host. Este volumen de datos aumenta cada día a medida que nuestro exhaustivo escaneado captura los nuevos hosts que se conectan.
El acceso a datos tan extensos puede ayudar a los equipos a acelerar sus esfuerzos de seguridad en varios frentes. Los cazadores de amenazas pueden llevar a cabo investigaciones exhaustivas de las mismas, los encargados de responder a incidentes pueden evaluar más rápidamente si su organización está en peligro y los investigadores pueden observar las tendencias de la actividad en Internet a escala mundial. Sin embargo, este tesoro de datos se vuelve aún más útil con la capacidad de personalizar su visión.
Puede hacerlo con una función de la API denominada selección de campos personalizados. La selección de campos personalizados le permite seleccionar lo que se devuelve en la respuesta de la API de una consulta de host. Con la selección de campos personalizados, las vistas previas del host no se limitan a los campos predeterminados, sino que sólo se muestran los campos personalizados que usted solicita. De este modo, se obtienen resultados de búsqueda muy específicos que ahorran un tiempo valioso a los equipos y reducen la necesidad de búsquedas adicionales.
La selección de campos personalizados está disponible para los usuarios de la API de búsqueda Censys que utilicen un paquete de pago. Estos paquetes incluyen nuestras nuevas opciones de autoservicio: Censys Search Solo y Censys Search Teams.
Vaya más allá de los campos por defecto. Elija los suyos.
Hablemos primero del uso de la API Censys . El acceso a la API ofrece a los usuarios de Censys Search la posibilidad de integrar los datos de Censys en sus propias herramientas y flujos de trabajo. Por ejemplo, muchos equipos utilizan nuestra API para enriquecer sus soluciones SIEM. Sin embargo, al igual que ocurre con cualquier API, lo normal es que la ejecución sea lo más eficiente posible.
Nuestra función de selección de campos personalizados le ayuda a hacerlo. Así es como funciona.
Al ejecutar una búsqueda de hosts, la respuesta de la API mostrará vistas previas de los hosts que coincidan con la consulta especificada. En estas vistas previas, se muestra un pequeño número de campos predeterminados. Estos campos predeterminados capturan datos de interés comunes como la IP, el nombre y la ubicación del host.
Sin embargo, sabemos que a veces los usuarios quieren datos más allá de estos campos por defecto. De hecho, a veces, dependiendo del caso de uso, es posible que no necesites ninguno de los campos predeterminados que se muestran en las vistas previas del host.
En su lugar, es posible que desee consultar alguno de los más de 20 campos que se capturan en las páginas de host individuales. Por ejemplo, es posible que desee extraer el CPE, de modo que pueda cotejar el CPE con otras fuentes de datos, como la base de datos NVD para CVE. Sin la selección de campos personalizados, que le permite añadir el campo "services.software.uniform_resource_identifier" a su consulta, tendría que examinar manualmente los resultados de su búsqueda y analizar el contenido del host completo.
La selección de campos personalizados, sin embargo, te permite solicitar uno de estos otros 20+ campos desde el principio. Cuando añadas un campo personalizado (o varios), las vistas previas del host mostrarán lo que hayas solicitado específicamente.
De este modo, puede ir más allá de los campos predeterminados y conseguir una vista personalizada.
Ahorre tiempo... y consultas
El uso de la selección de campos personalizada permite trabajar más rápido y utilizar menos consultas por el camino.
Ahorro de tiempo
En lugar de analizar manualmente las devoluciones, los campos de interés se mostrarán ahora en la vista previa del anfitrión. Esto puede ahorrar una cantidad excepcional de tiempo a los equipos que necesitan mirar con frecuencia más allá de los campos predeterminados. Menos tiempo dedicado a analizar manualmente los datos significa más tiempo para centrarse en otras cuestiones de seguridad.
Menos consultas
El uso de campos personalizados también significa que obtendrá exactamente lo que busca a la primera. Sin la selección de campos personalizados, es posible que tenga que ejecutar una búsqueda para cada host del que desee información adicional. Esto, a su vez, reduce las cuotas de consulta mensuales. Con la selección de campos personalizados, puede utilizar su cuota de consultas para realizar más búsquedas, en lugar de búsquedas.
Cómo utilizar la selección de campos personalizados
Los campos personalizados pueden añadirse directamente a su solicitud de búsqueda API. Si ya es usuario de la API de búsqueda Censys , sabrá que todas las consultas GET de la API comienzan con la dirección de los puntos finales de la API Censys (https://search.censys.io/api). A partir de ahí, puedes añadir sintaxis para campos personalizados.
Ejemplo básico
Supongamos que su equipo de seguridad está buscando dominios suplantados. Usted ha tenido actores de amenazas redirigir a los visitantes a sus diversos dominios web en el pasado, y desea mantener un ojo en esta vulnerabilidad potencial. Una forma de hacerlo en Censys Search es buscar el uso de favicon malicioso, a través de los hashes de favicon.
Para ver los hash de los favicon sin tener que buscar en cada host individual, puedes indicar "services.http.response.favicons.md5_hash" en tu petición de búsqueda después de "fields" y te devolverá el hash del favicon de cada uno.
Su solicitud de búsqueda se mostraría como:
rizo
-X 'GET' \
-u “${CENSYS_API_ID}:${CENSYS_API_SECRET}” \
'https://search.censys.io/api/v2/hosts/search?q=services.http.response.headers.server%3A%20nginx%3F%2A&fields=services.http.response.favicons.md5_hash&per_page=1'
Ejemplo avanzado
Como se mencionó anteriormente, es posible añadir múltiples campos personalizados a su búsqueda. Aquí es donde el valor de la selección de campos personalizados puede llegar a ser exponencial; múltiples búsquedas pueden consolidarse en una sola a medida que su búsqueda se vuelve más específica.
En este ejemplo, queremos:
"Buscar hosts con un servicio HTTP que informe de nginx en la cabecera del servidor, con al menos algunos caracteres adicionales a continuación de la palabra exacta, y para cada acierto, devolver la cabecera del servidor y cualquier paquete de software identificado en formato CPE."
Para ello, nuestra petición de búsqueda se mostraría como:
rizo
-X 'GET' \
-u “${CENSYS_API_ID}:${CENSYS_API_SECRET}” \
'https://search.censys.io/api/v2/hosts/search?=services.http.response.headers.server%3A%20nginx%3F%2A&virtual_hosts=EXCLUDE&fields=services.port%2Cservices.service_name
%2Cservices.software.uniform_resource_identifier&per_page=1'
Para utilizar campos personalizados, todo lo que necesita saber es el campo que desea devolver. Tenemos una guía completa de esos campos aquí. También puedes encontrar ejemplos de consultas para ejecutar en hosts aquí.
Además, puede utilizar nuestra herramienta CensysGPT basada en IA para convertir consultas en lenguaje natural en consultas de búsqueda en Censys . La herramienta CensysGPT agiliza las búsquedas y supone una barrera de entrada mínima para los recién llegados a Censys Search.
Una experiencia API personalizada
El tiempo y las consultas son recursos valiosos, y la selección de campos personalizados está diseñada para ayudarle a optimizar ambos. Ahorre tiempo con las vistas previas de hosts curadas y ahorre consultas con búsquedas que devuelven lo que busca a la primera solicitud. Con la selección de campos personalizados, puede evitar el análisis de hosts individuales y, en su lugar, disfrutar de respuestas de búsqueda de API personalizadas según sus necesidades específicas.
¿Necesita acceder a una selección de campos personalizada? Obtenga más información sobre nuestros paquetes de búsqueda enCensys .
Nota para los usuarios comunitarios sobre la API Censys
Recientemente hemos comunicado que vamos a introducir algunos cambios en nuestra versión Censys Search Community. En concreto, dejaremos de ofrecer acceso a la API durante más de 60 días. Esto se aplicará tanto a los nuevos usuarios como a los actuales. Esto significa que los usuarios de la comunidad que crearon sus cuentas en Censys Search Community el 6 de diciembre de 2023 o antes, fecha en la que se lanzaron nuestros paquetes de autoservicio, ya no tendrán acceso a la API después del 5 de febrero de 2024.
Cualquier usuario de la Comunidad que haya creado una cuenta de la Comunidad después del 6 de diciembre de 2023 tendrá acceso a la API durante 60 días después de su fecha específica de inscripción.
Puede leer más sobre esta actualización en nuestro reciente blog.
Como siempre, agradecemos su comprensión y cooperación en nuestro empeño por mantener un alto nivel de servicio.
Para obtener más información sobre cómo actualizar su cuenta, visite nuestra página de precios.
Utilizar la selección de campos personalizada
