CrowdSec Threat Intelligence ist ein Open-Source-Sicherheitsstapel für die Zusammenarbeit, mit dem Sie Verhaltensweisen analysieren, auf Angriffe reagieren und Signale in der community teilen können. CrowdSec Threat Intelligence bietet Informationen über IP-Adressen und die Überprüfung oder Identifizierung potenziell aggressiver IP-Adressen. Sie können das CrowdSec Cyber Threat Intelligence (CrowdSec CTI)-Plug-In mit Microsoft Security Copilot verwenden.
Dieses Plug-In ermöglicht es Benutzern, ihre IP-Untersuchungen mit Threat Intelligence zu verbessern, die von CrowdSec stammen, und Erkenntnisse wie die folgenden zu erhalten:
MITRE-Techniken, die der IP-Adresse zugeordnet sind
Vom Angreifer ins Visier genommene Länder
Klassifizierung des Angreifers
Historische Aktivitäts- und Aggressivitätsmetriken (für die letzten 24 Stunden, 7 Tage, 30 Tage und insgesamt)
Hinweis
Dieser Artikel enthält Informationen zu Plug-Ins von Drittanbietern. Dies wird bereitgestellt, um Integrationsszenarien abzuschließen. Microsoft bietet jedoch keine Unterstützung bei der Problembehandlung für Plug-Ins von Drittanbietern. Wenden Sie sich an den Drittanbieter, um Support zu erhalten.
Klare Ideen vor dem Loslegen
Die Integration in Security Copilot funktioniert mit einem API-Schlüssel. Sie müssen die folgenden Schritte ausführen, bevor Sie das Plug-In verwenden.
Hinweis
Je nachdem, über welches Konto Sie verfügen, gilt möglicherweise ein Grenzwert von bis zu 50 Abfragen pro Tag. Dies hängt von Ihrer Lizenzierung für CrowdSec ab.
Rufen Sie Ihren CrowdSec-API-Schlüssel ab. Wenn Sie noch keinen haben, führen Sie die folgenden Schritte aus:
Rufen Sie die CrowdSec-Website auf, und erstellen Sie Ihr kostenloses Konto.
Greifen Sie auf Plug-Ins verwalten zu, indem Sie auf der Eingabeaufforderungsleiste die Schaltfläche Plug-In auswählen.
Wählen Sie neben CrowdSec Threat Intelligence die Option Einrichten aus.
Fügen Sie im Feld Wert Ihren API-Schlüssel ein, und wählen Sie dann Speichernaus.
Beispiel für CrowdSec-CTI-Eingabeaufforderungen
Nachdem das CrowdSec CTI-Plug-In konfiguriert wurde, können Sie es verwenden, indem Sie einen der folgenden Schritte ausführen:
Greifen Sie direkt auf die Funktion zu, LookupIpAddressSmokeDataset indem Sie in die Eingabeaufforderungsleiste eingeben. oder
Auffordern Security Copilot, die CrowdSec Threat Intelligence-API für eine IP-Adresse zu verwenden
In der folgenden Tabelle wird die Funktionsweise dieser Funktion zusammengefasst.
Funktion
Funktion der Einstellung
LookupIpAddressSmokeDataset
Beispieleingabeaufforderung(n): - Was kann CrowdSec zu dieser IP sagen: [IP] - Laut CrowdSec sind die Länder, die am häufigsten von dieser IP-Adresse betroffen sind: [IP] - Eingaben: [IP]
Erforderliche Eingabe: IP-Adresse
Durchsucht das Dataset von CrowdSec nach einer IP-Adresse, um mehr über Folgendes zu erfahren:
- Was es in Bezug auf beobachtete Verhaltensweisen, gezielte Protokolle und ausgenutzte Sicherheitsrisiken bewirkt.
– In welche Kategorien es gehört, z. B. Proxy/VPN, CDN-Exitknoten und Legit-Sicherheitsscanner.
- Worauf es abzielt, in Bezug auf Länder oder Dienstleistungen.
- Vorhandene Querverweise, z. B. Listen
- Wie virulent es ist.
– Wie lange dies von Benutzern gemeldet wurde.
- Das Konfidenzniveau der Informationen.
Problembehandlung für das CTI-Plug-In
Fehler treten auf
Wenn Fehler auftreten, z. B . Konnte Ihre Anforderung nicht abschließen oder Unbekannter Fehler aufgetreten, stellen Sie sicher, dass das Plug-In aktiviert ist. Wenn das Problem weiterhin besteht, melden Sie sich bei Security Copilot ab, und melden Sie sich dann wieder an.
Prompts nicht die richtigen Funktionen aufrufen
Wenn Eingabeaufforderungen nicht die richtigen Funktionen aufrufen oder Eingabeaufforderungen einen anderen Funktionssatz aufrufen, verfügen Sie möglicherweise über benutzerdefinierte Plug-Ins oder andere Plug-Ins, die über ähnliche Funktionen wie der Funktionssatz verfügen, den Sie verwenden möchten. Sie können entweder den Produktnamen CrowdSec in Ihren Eingabeaufforderungen verwenden oder stattdessen den Namen einer bestimmten Funktion LookupIpAddressSmokeDataset eingeben.
Feedback geben
Um Feedback zu geben, kontaktieren Sie CrowdSec über Discourse oder über die Support- oder Feedbackaktion direkt in Ihrer CrowdSec-Konsole.