🐤 Intelligence API

Canary Intelligence API

实时早期攻击遥测

Canary Intelligence API 提供来自我们分布式蜜罐网络的实时攻击者遥测数据——让您的安全团队能够洞察凭证验证、账户探测和欺诈测试活动，在攻击升级之前。

取代：

在损害发生后才检测到入侵

→

您将在以下时间收到警报：

在敌意意图的第一个迹象出现时

⚡

City of Hats 不是在观看泄露发生——我们在攻击者进攻时观察他们。

传统蜜罐只是被动等待。我们的金丝雀被设计为可被发现——并在攻击者交互时发送实时情报。

信号示例：

✔ 凭证重用尝试 ✔ 特权访问测试 ✔ 金丝雀资产发现

查看 API 文档获取 API 密钥

检测

此 API 提供什么

该 API 流式传输来自 City of Hats 蜜罐网络和合作伙伴欺骗基础设施的匿名化攻击事件信号。

检测到的攻击信号

🔐 凭证测试尝试
🤖 自动化指纹识别
🌐 攻击者基础设施线索
📱 SIM-swap 侦察
🔁 重放 & 凭证填充准备
✅ 账户验证探测
💳 虚假支付 & 欺诈测试信号

🛡️

隐私优先遥测

无 PII
无个人用户活动
仅攻击者行为

这是外部对手情报——不是监控。

战略价值

为什么这很重要

大多数系统只在攻击活动到达时才能看到。

City of Hats 看到：攻击者在练习——在真正尝试之前。

这使以下成为可能：

🛡️ 主动欺诈防御

🔐 情报驱动的 MFA 策略

⚠️ 早期凭证风险升级

📊 SOC 就绪 & 富化

🆔 身份风险确认

示例

金丝雀信号示例

金丝雀事件 LIVE SIGNAL

{
  "event_type": "credential_testing",
  "timestamp": "2026-01-03T04:12:11Z",
  "source_country": "RU",
  "infrastructure": "residential-proxy",
  "attack_confidence": "high",
  "related_domain": "example-company.com",
  "threat_stage": "TESTING",
  "recommended_action": "monitor_or_step_up_auth"
}

信号分析

event_type 检测到的攻击行为类型

infrastructure 攻击者的代理/网络类型

attack_confidence 恶意确定程度

threat_stage 在攻击漏斗中的位置

集成

与风险评分的关系

金丝雀遥测是风险引擎中的高价值信号——尤其在以下情况下：

🧪 凭证此前已被泄露

⚠️ 账户测试趋势增加

🔁 自动化指纹匹配

🕵️ 漏斗活动推进

它们共同回答：

"此身份是否正在被准备用于攻击？"

应用场景

使用案例示例

🏦

欺诈 & 金融犯罪

在贷款或账户滥用尝试之前检测合成身份测试。

🏬

电子商务信任

在机器人到达结账之前检测凭证填充准备。

🏢

员工安全

在企业账户被入侵之前识别敌意侦察。

📱

电信 & 运营商防御

在接管事件发生之前检测 SIM-swap 侦察活动。

开发者

API 参考

GET /v1/canary/signals

cURL

curl -X GET "https://api.cityofhats.com/v1/canary/signals?limit=50&threat_only=true&since_hours=24" \
  -H "Authorization: Bearer YOUR_API_KEY"

响应 200 OK

{
  "signals": [
    {
      "id": "sig_82933",
      "event_type": "credential_testing",
      "confidence": "high",
      "source_region": "EU",
      "proxy_type": "residential",
      "threat_stage": "TESTING",
      "related_domain": "example.com",
      "timestamp": "2026-01-03T04:12:11Z",
      "recommended_action": "monitor_or_step_up"
    }
  ],
  "total_count": 142,
  "time_range": "24h"
}

GET /v1/canary/threat-feed

仅高置信度威胁信号

GET /v1/canary/campaigns

分组攻击活动

GET /v1/canary/stats

网络统计 & 趋势

响应字段参考

event_type string credential_testing | account_probe | sim_recon | fraud_test

confidence string low | medium | high — 信号置信度

source_region string 攻击的地理来源（ISO 区域）

proxy_type string datacenter | residential | mobile | tor

threat_stage string TESTING | ATTACK — 漏斗中的位置

related_domain string 正在被测试的目标品牌/域名

recommended_action string monitor | step_up | block | alert_soc

攻击生命周期

威胁漏斗对齐

金丝雀信号通常出现在这些关键阶段：

TEST CANARY DETECTS

凭证演练
账户验证
机器人测试运行

→

ATTACK CANARY DETECTS

实时凭证滥用
会话劫持
SIM 接管

这意味着：客户在变现开始之前就检测到威胁。

工作流程

自动化触发器示例

IF:

金丝雀置信度 = high
AND 凭证泄露 = true

THEN →

ACTIONS:

🔐 强制执行增强认证
📊 监控交易行为
🚨 警报 SOC

无需人工审批。以机器速度进行情报驱动的自动化。

输出至

集成到哪里

金丝雀信号无缝流入您现有的安全和欺诈基础设施。

📊

SIEM

为 Splunk、Sentinel、Chronicle 提供实时事件摄取

⚙️

SOAR

自动化剧本和响应编排

🎯

威胁情报

为 TIP 平台提供富化信息流

🛡️

欺诈引擎

为决策系统提供风险信号

还可集成：

🛂 基于风险的认证

🔐 IAM 策略

🔔 安全警报

📈 数据科学模型

🔐 隐私 & 控制

对手情报——不是监控。

无用户监控
无行为指纹采集
无数据转售
完全匿名化遥测
企业治理控制
符合 SOC 2 Type II

⚡ 性能 & 交付

为实时安全运营而构建。

实时流式传输或轮询
全球蜜罐覆盖
为 SIEM / SOAR 摄取而构建
低延迟富化
99.9% uptime SLA
企业级吞吐量

🏆

企业为什么选择 Canary Intelligence

威胁信息流告诉您已经发生了什么。 Canary 告诉您攻击者正在计划什么。

✔ 第一方

✔ 信号密集

✔ 欺骗驱动

✔ 以攻击者为中心

Canary Intelligence API 为您的组织提供战略性早期预警系统——在凭证被武器化和账户被入侵之前检测攻击者行为。

开始使用 Canary Intelligence API

在攻击者练习时检测他们。在凭证被武器化之前获取早期预警遥测。

获取 API 密钥 — 免费查看完整 API 文档

第一方情报实时隐私安全企业 SLA

Tip Delivered Securely

Channel Created