Canary Intelligence API
ข้อมูลการโจมตีระยะเริ่มต้นแบบเรียลไทม์
Canary Intelligence API ให้บริการข้อมูลผู้โจมตีแบบสดจากเครือข่าย honeypot แบบกระจายของเรา — มอบการมองเห็นให้ทีมรักษาความปลอดภัยของคุณเกี่ยวกับการตรวจสอบข้อมูลรับรอง การสำรวจบัญชี และกิจกรรมทดสอบการฉ้อโกงก่อนที่การโจมตีจะทวีความรุนแรง
ตรวจพบการบุกรุกหลังจากเกิดความเสียหาย
ตั้งแต่สัญญาณแรกของเจตนาร้าย
City of Hats ไม่ได้เฝ้าดูการรั่วไหลเกิดขึ้น — เราเฝ้าดูผู้โจมตีขณะที่พวกเขาโจมตี
Honeypot แบบดั้งเดิมนั่งรอ Canary ของเราถูกออกแบบมาเพื่อให้ถูกค้นพบ — และส่งข่าวกรองแบบเรียลไทม์เมื่อผู้โจมตีมีส่วนร่วม
API นี้ให้อะไรบ้าง
API สตรีมสัญญาณเหตุการณ์การโจมตีที่ไม่ระบุตัวตนจากเครือข่าย honeypot ของ City of Hats และโครงสร้างพื้นฐานการหลอกลวงของพันธมิตร
สัญญาณการโจมตีที่ตรวจพบ
- ความพยายามทดสอบข้อมูลรับรอง
- การระบุลายนิ้วมือการทำงานอัตโนมัติ
- เบาะแสโครงสร้างพื้นฐานของผู้โจมตี
- การสำรวจ SIM-swap
- การเตรียม Replay & credential stuffing
- การสำรวจการตรวจสอบบัญชี
- สัญญาณการชำระเงินปลอม & การทดสอบการฉ้อโกง
เทเลเมทรีที่ให้ความสำคัญกับความเป็นส่วนตัว
- ไม่มี PII
- ไม่มีกิจกรรมส่วนตัวของผู้ใช้
- เฉพาะพฤติกรรมของผู้โจมตี
ทำไมสิ่งนี้จึงสำคัญ
ระบบส่วนใหญ่เห็นกิจกรรมการโจมตีเมื่อมันมาถึงเท่านั้น
City of Hats เห็น: ผู้โจมตีกำลังฝึกซ้อม — ก่อนความพยายามจริง
สิ่งนี้ช่วยให้:
ตัวอย่างสัญญาณ Canary
{
"event_type": "credential_testing",
"timestamp": "2026-01-03T04:12:11Z",
"source_country": "RU",
"infrastructure": "residential-proxy",
"attack_confidence": "high",
"related_domain": "example-company.com",
"threat_stage": "TESTING",
"recommended_action": "monitor_or_step_up_auth"
}การวิเคราะห์สัญญาณ
event_type
ประเภทพฤติกรรมการโจมตีที่ตรวจพบ
infrastructure
ประเภทพร็อกซี/เครือข่ายของผู้โจมตี
attack_confidence
ความมั่นใจว่านี่เป็นอันตราย
threat_stage
ตำแหน่งในช่องทางการโจมตี
ความสัมพันธ์กับการให้คะแนนความเสี่ยง
เทเลเมทรี Canary เป็นสัญญาณมูลค่าสูงในเครื่องมือประเมินความเสี่ยง — โดยเฉพาะเมื่อ:
เมื่อรวมกันจะตอบ:
"อัตลักษณ์นี้กำลังถูกเตรียมเพื่อการโจมตีหรือไม่?"
ตัวอย่างกรณีการใช้งาน
การฉ้อโกง & อาชญากรรมทางการเงิน
ตรวจจับการทดสอบอัตลักษณ์สังเคราะห์ก่อนความพยายามในการหลอกลวงสินเชื่อหรือบัญชี
ความน่าเชื่อถือของอีคอมเมิร์ซ
ตรวจจับการเตรียม credential-stuffing ก่อนที่บอทจะไปถึงการชำระเงิน
ความปลอดภัยด้านบุคลากร
ระบุการสำรวจที่เป็นอันตรายก่อนการบุกรุกบัญชีองค์กร
การป้องกันโทรคมนาคม & ผู้ให้บริการ
ตรวจจับกิจกรรมสำรวจ SIM-swap ก่อนเหตุการณ์การยึดครอง
เอกสารอ้างอิง API
curl -X GET "https://api.cityofhats.com/v1/canary/signals?limit=50&threat_only=true&since_hours=24" \
-H "Authorization: Bearer YOUR_API_KEY"{
"signals": [
{
"id": "sig_82933",
"event_type": "credential_testing",
"confidence": "high",
"source_region": "EU",
"proxy_type": "residential",
"threat_stage": "TESTING",
"related_domain": "example.com",
"timestamp": "2026-01-03T04:12:11Z",
"recommended_action": "monitor_or_step_up"
}
],
"total_count": 142,
"time_range": "24h"
}/v1/canary/threat-feed
เฉพาะสัญญาณภัยคุกคามที่มีความเชื่อมั่นสูง
/v1/canary/campaigns
แคมเปญการโจมตีที่จัดกลุ่ม
/v1/canary/stats
สถิติ & แนวโน้มของเครือข่าย
เอกสารอ้างอิงฟิลด์การตอบกลับ
event_type
string
credential_testing | account_probe | sim_recon | fraud_test
confidence
string
low | medium | high — ความเชื่อมั่นของสัญญาณ
source_region
string
แหล่งที่มาทางภูมิศาสตร์ของการโจมตี (ภูมิภาค ISO)
proxy_type
string
datacenter | residential | mobile | tor
threat_stage
string
TESTING | ATTACK — ตำแหน่งในช่องทาง
related_domain
string
แบรนด์/โดเมนเป้าหมายที่กำลังถูกทดสอบ
recommended_action
string
monitor | step_up | block | alert_soc
การจัดแนวช่องทางภัยคุกคาม
สัญญาณ Canary มักจะปรากฏในขั้นตอนสำคัญเหล่านี้:
- การซ้อมข้อมูลรับรอง
- การตรวจสอบบัญชี
- การทดสอบบอท
- การใช้ข้อมูลรับรองในทางที่ผิดแบบสด
- การยึดเซสชัน
- การยึดครอง SIM
ซึ่งหมายความว่า: ลูกค้าตรวจพบภัยคุกคามก่อนที่จะเริ่มการสร้างรายได้
ตัวอย่างทริกเกอร์การทำงานอัตโนมัติ
IF:
- ความเชื่อมั่น Canary =
high - AND การเปิดเผยข้อมูลรับรอง =
true
ACTIONS:
- 🔐 บังคับใช้การยืนยันตัวตนแบบขั้นสูง
- 📊 ติดตามพฤติกรรมธุรกรรม
- 🚨 แจ้งเตือน SOC
ไม่จำเป็นต้องมีการอนุมัติจากมนุษย์ การทำงานอัตโนมัติที่ขับเคลื่อนด้วยข่าวกรองด้วยความเร็วของเครื่องจักร
เชื่อมต่อที่ไหน
สัญญาณ Canary ไหลเข้าสู่โครงสร้างพื้นฐานด้านความปลอดภัยและการป้องกันการฉ้อโกงที่มีอยู่ของคุณอย่างราบรื่น
SIEM
การนำเข้าเหตุการณ์แบบเรียลไทม์สำหรับ Splunk, Sentinel, Chronicle
SOAR
Playbook อัตโนมัติและการประสานงานตอบสนอง
ข่าวกรองภัยคุกคาม
ฟีดเพิ่มคุณค่าสำหรับแพลตฟอร์ม TIP
เครื่องมือป้องกันการฉ้อโกง
สัญญาณความเสี่ยงสำหรับระบบตัดสินใจ
ยังผนวกรวมกับ:
🔐 ความเป็นส่วนตัว & การควบคุม
ข่าวกรองฝ่ายตรงข้าม — ไม่ใช่การเฝ้าระวัง
- ไม่มีการติดตามผู้ใช้
- ไม่มีการเก็บลายนิ้วมือพฤติกรรม
- ไม่มีการขายต่อข้อมูล
- เทเลเมทรีที่ไม่ระบุตัวตนอย่างสมบูรณ์
- การควบคุมธรรมาภิบาลระดับองค์กร
- เป็นไปตาม SOC 2 Type II
⚡ ประสิทธิภาพ & การส่งมอบ
สร้างขึ้นสำหรับปฏิบัติการรักษาความปลอดภัยแบบเรียลไทม์
- สตรีมมิ่งแบบเรียลไทม์หรือ polling
- ครอบคลุม honeypot ทั่วโลก
- สร้างขึ้นสำหรับการนำเข้า SIEM / SOAR
- การเพิ่มคุณค่าด้วยเวลาแฝงต่ำ
- 99.9% uptime SLA
- ปริมาณงานระดับองค์กร
ทำไมองค์กรถึงเลือก Canary Intelligence
ฟีดภัยคุกคามบอกคุณว่าเกิดอะไรขึ้นแล้ว Canary บอกคุณว่าผู้โจมตีกำลังวางแผนอะไร
Canary Intelligence API มอบระบบเตือนภัยล่วงหน้าเชิงกลยุทธ์ให้กับองค์กรของคุณ — ตรวจจับพฤติกรรมของผู้โจมตีก่อนที่ข้อมูลรับรองจะถูกใช้เป็นอาวุธและบัญชีจะถูกบุกรุก
เริ่มใช้งาน Canary Intelligence API
ตรวจจับผู้โจมตีขณะที่พวกเขาฝึกซ้อม รับเทเลเมทรีเตือนภัยล่วงหน้าก่อนที่ข้อมูลรับรองจะถูกใช้เป็นอาวุธ