¿Cuáles son los parámetros de búsqueda de URLs y Dominios en el Threat Hunting? | Axur

En este artículo, encontrará los parámetros de búsqueda de URLs y Dominios, junto con ejemplos de uso para cada uno. Si tiene alguna duda, póngase en contacto con nuestro soporte.

También ofrecemos múltiples parámetros de búsqueda para ayudarle a refinar los resultados al buscar URLs y dominios. Todos estos parámetros están disponibles al acceder a los detalles de los resultados. A continuación, organizamos los parámetros de búsqueda en una jerarquía para optimizar su análisis.

1. Identificación primaria de URL y dominio

Estos campos son esenciales para identificar y clasificar URL y dominios:

Parámetro	Descripción	Ejemplo
reference	Referencia completa de la URL o dominio	`reference="https://phishing-site.com/login"`
domain	Dominio registrado de la referencia	`domain="malicious-example.com"`
domainCreationDate	Fecha de creación del dominio (útil para identificar dominios recientemente creados)	`domainCreationDate>2025-01-16`
origin	Origen de la referencia	`origin=phishtank OR origin=urlscan`
host	Host relacionado con la referencia	`host="secure-bank.example.com"`
subdomain	Subdominio asociado con la referencia	`subdomain="login"`

2. Indicadores de amenazas y phishing

Parámetro	Descripción	Ejemplo
contentType	Tipo de Contenido	`contentType="e-commerce","parked domain", "financial", "news", "social media", "forum", "message app", "error page", "blank page", "login page", "adult", "gambling", "games", "captcha", "under construction", "other"`
impersonatedBrand	Marca objetivo de la suplantación	`impersonatedBrand="Netflix" OR impersonatedBrand="Facebook"`
impersonatedBrandsHigh, impersonatedBrandsMedium	Nivel de suplantación de marca	`impersonatedBrandsHigh="Apple" OR impersonatedBrandsMedium="Microsoft"`
companiesMentioned	Empresas mencionadas en el HTML o captura de pantalla	`companiesMentioned="Amazon" OR companiesMentioned="Tesla"`
companyLogo	Logotipos de empresas detectados	`companyLogo="paypal" OR companyLogo="visa"`
languages	Idiomas presentes en el contenido	`languages="spanish" OR languages="english" OR languages="portuguese" OR languages="french"`
predominantLanguage	Idioma predominante en el contenido	`predominantLanguage="english" OR predominantLanguage="spanish"`
imageDescription	Descripción de la imagen (Disponible en inglés)	`imageDescription="yellow background" AND imageDescription="casino"`
predominantColor	Color predominante en formato textual	`predominantColorHex="orange"`
predominantColorHex	Color predominante en formato hexadecimal	`predominantColorHex="#FE3131"`
predominantColorRGB	Color predominante en RGB	`predominantColorRGB="[254, 49, 49]"`
contentHTML	Búsqueda por contenido textual de la página	`htmlContent="99999-9999"`
htmlLinks	Búsqueda por enlaces contenidos en la página	`htmlLinks="wa.me"`

3. Análisis técnico de URL

Parámetro	Descripción	Ejemplo
referenceIp	IP contenido en la referencia	`referenceIp="45.67.89.101"`
protocol	Protocolo de la URL	`protocol="http" OR protocol="ftp"`
queryStrings	Parámetros de consulta de la URL	`queryStrings="?sessionid=abcd1234"`
httpStatus	Código de estado HTTP	`httpStatus=404 OR httpStatus=503`
redirectedTo	URL a la que se produjo la redirección	`redirectedTo="https://secure-payment.xyz"`
finalUrl	URL final después de las redirecciones	`finalUrl="https://final-malicious-site.com"`

4. Datos WHOIS (Registro de dominio)

Parámetro	Descripción	Ejemplo
domainStatus	Estado actual del dominio	`domainStatus="suspended"`
registrant, registrantOrganization, registrantEmail	Información del registrante	`registrant="Anonymous" OR registrantEmail="[email protected]"`
administrator, administratorOrganization, administratorEmail	Información del administrador del dominio	`administrator="John Doe" OR administratorEmail="[email protected]"`
technical, technicalOrganization, technicalEmail	Información del contacto técnico	`technical="Tech Support" OR technicalEmail="[email protected]"`
registrar, registrarEmail	Empresa registradora del dominio	`registrar="Namecheap" OR registrarEmail="[email protected]"`
nameServers	Lista de servidores de nombres	`nameServers="ns1.fake-dns.com" OR nameServers="ns2.fake-dns.com"`
ipAddresses	Direcciones IP asociadas con los servidores de nombres	`ipAddresses="185.199.108.153"`

5. Registros DNS e infraestructura

Parámetro	Descripción	Ejemplo
dnsRecordType (A)	Registro de dirección IPv4 del dominio	`dnsRecordType="A" AND dnsRecordValue="192.0.2.1"`
dnsRecordType (AAAA)	Registro de dirección IPv6 del dominio	`dnsRecordType="AAAA" AND dnsRecordValue="2001:db8::1"`
dnsRecordType (CNAME)	Registro de nombre canónico (alias para otro dominio)	`dnsRecordType="CNAME" AND dnsRecordValue="example.com"`
dnsRecordType (NS)	Registro de servidor de nombres, indicando servidores DNS autoritativos	`dnsRecordType="NS" AND dnsRecordValue="ns1.example.com"`
dnsRecordType (MX)	Registro de intercambio de correo, especificando servidores de correo para el dominio	`dnsRecordType="MX" AND dnsRecordValue="mail.example.com"`
ipAddresses	Direcciones IP asociadas con servidores de nombres	`ipAddresses="185.199.108.153"`

6. ¿Cómo buscar información de Geolocalización?

Parámetro	Descripción	Ejemplo
geolocationCountryName	Indica el país donde se encuentra el servidor.	`geolocationCountryName="United States"`
geolocationCountryCode	Indica el código del país donde se encuentra el servidor.	`geolocationCountryCode="CN"`
geolocationIp	IP de geolocalización	`geolocationIp = "203.0.113.45"`
latitude	Representa la coordenada de latitud de la ubicación estimada de la IP.	`latitude="54.6876"`
longitude	Representa la coordenada de longitud de la ubicación estimada de la IP.	`longitude="25.2806"`
isp	Servidor relacionado con la referencia.	`isp=Cloudflare`

7. ¿Cómo buscar datos de las señales del origen 'facebook-ads-coll', la Biblioteca de Anuncios de Meta?

Parámetro	Descripción	Ejemplo
metaAdId	ID del anuncio	`metaAdId=24286785267571234`
metaAdUrl	URL del anuncio	`metaAdUrl=https://www.facebook.com/ads/library?id=24286785267571234`
metaAdvertiserProfiles	Perfil del anunciante	`metaAdvertiserProfiles=https://facebook.com/discount-amazon-store`
metaProfileId	ID del perfil	`metaProfileId=123489169657887`
metaProfileName	Nombre del perfil	`metaProfileName="Discount Store"`

Si tienes cualquier duda, puedes contactarnos en [email protected] 😊