WhoisXML Domain Reputation API est une application pour Splunk. Elle vous permet d'auditer les noms de domaine/adresses IP et d'attribuer des scores de risque basés sur leur contenu, leur configuration, leur infrastructure, etc. au sein de Splunk.
Conditions préalables
Splunk Enterprise doit être installé et configuré. Pour ce faire, veuillez vous référer à la documentation officielle.
Configuration de l'extension
1. Connectez-vous à Splunk.
2. Téléchargez et installez l'application. Vous pouvez le faire à partir de Splunk.(https://splunkbase.splunk.com/app/5401)
3. Vous pouvez commencer la configuration immédiatement après l'installation de l'application.
3.1 Vous pouvez également configurer l'application sur la page Apps. Cliquez sur Configurer à côté du nom de l'application.
4. Remplissez votre clé API et cliquez sur Enregistrer.
Utilisation de l'extension
1. Sur la page de recherche de réputation de domaine, vous pouvez effectuer des recherches instantanées.
2. Pour intégrer la recherche de la réputation d'un domaine dans votre script, vous pouvez utiliser la fonction wxadomainrep pour intégrer la recherche de réputation de domaine dans votre script. Elle prend 3 arguments : search_term qui fournit des noms de domaine ou des adresses IP séparés par des virgules, mode (optionnel, rapide/complet, par défaut "rapide") spécifiant l'approche du test avec "fast" sautant certaines vérifications lourdes et coûtant 1 crédit au lieu de 3 et api_key (optionnel) repris de la configuration s'il n'est pas spécifié.