Intelligence sulle minacce informatiche CrowdSec Cyber
CrowdSec Threat Intelligence è uno stack di sicurezza collaborativo open source che consente di analizzare i comportamenti, rispondere agli attacchi e condividere segnali nella community. Intelligence sulle minacce CrowdSec fornisce informazioni sugli indirizzi IP e verifica o identifica gli indirizzi IP potenzialmente aggressivi. È possibile usare il plug-in CrowdSec Cyber Threat Intelligence (CrowdSec CTI) con Microsoft Security Copilot.
Questo plug-in consente agli utenti di migliorare le indagini IP con informazioni sulle minacce provenienti da CrowdSec e ottenere informazioni dettagliate come:
- Reputazione dell'intervallo IP e IP curato
- Valutazione del livello di rumore di fondo
- Record dettagliati di comportamenti dannosi
- Tecniche MITRE associate all'IP
- Paesi presi di mira dall'utente malintenzionato
- Classificazione dell'utente malintenzionato
- Metriche di attività e aggressività cronologiche (che coprono gli ultimi 24 ore, 7 giorni, 30 giorni e in generale)
Nota
Questo articolo contiene informazioni sui plug-in di terze parti. Questa opzione viene fornita per completare gli scenari di integrazione. Tuttavia, Microsoft non fornisce supporto per la risoluzione dei problemi per plug-in di terze parti. Per assistenza, contattare il fornitore di terze parti.
L'integrazione con Security Copilot funziona con una chiave API. Prima di usare il plug-in, è necessario seguire questa procedura.
Nota
A seconda dell'account in uso, potrebbe essere previsto un limite massimo di 50 query al giorno. Dipende dalle licenze per CrowdSec.
Come ottenere la chiave API CrowdSec. Se non si dispone già di una chiave, seguire questa procedura:
Passare al sito Web CrowdSec e creare l'account gratuito.
Nelle impostazioni dell'account personale passare a Chiavi API e selezionare + Nuova chiave. È possibile seguire i [passaggi qui] (https://doc.crowdsec.net/u/cti_api/integration_securitycopilot/)
Accedere a Microsoft Security Copilot.
Per accedere a Gestisci plug-in, selezionare il pulsante Plug-in dalla barra delle richieste.
Accanto a Intelligence sulle minacce CrowdSec selezionare Configura.
Nel campo Valore incollare la chiave API, quindi selezionare Salva.
Dopo aver configurato il plug-in CrowdSec CTI, è possibile usarlo eseguendo una delle operazioni seguenti:
- Accedere direttamente alla funzionalità digitando
LookupIpAddressSmokeDataset
nella barra dei prompt oppure - Richiedere Security Copilot di usare l'API di Intelligence per le minacce CrowdSec in un indirizzo IP
La tabella seguente riepiloga il funzionamento di questa funzionalità.
Funzionalità | Funzione |
---|---|
LookupIpAddressSmokeDataset Prompt di esempio: - Cosa può dirmi CrowdSec su questo IP: [IP] - Secondo CrowdSec quali sono i principali paesi di destinazione da questo IP: [IP] - Input: [IP] Input obbligatorio: indirizzo IP |
Cerca nel set di dati di CrowdSec un indirizzo IP per saperne di più: - Operazioni eseguite in termini di comportamenti osservati, protocolli mirati e vulnerabilità sfruttate. - A quali categorie appartiene, ad esempio proxy/VPN, nodo di uscita della rete CDN e scanner di sicurezza Legit. - A chi è rivolto, in termini di Paesi o servizi. - Riferimenti incrociati esistenti, ad esempio elenchi - Livello di aggressività. - Per quanto tempo è stato segnalato dagli utenti. - Livello di confidenza delle informazioni. |
Se si verificano errori, ad esempio Impossibile completare la richiesta o Si è verificato un errore sconosciuto, assicurarsi che il plug-in sia attivato. Se il problema persiste, disconnettersi da Security Copilot e quindi eseguire di nuovo l'accesso.
Se i prompt non richiamano le funzionalità corrette o i prompt richiamano un altro set di funzionalità, è possibile che siano presenti plug-in personalizzati o altri plug-in con funzionalità simili a quelle del set di funzionalità che si vuole usare. È possibile usare il nome CrowdSec
del prodotto nei prompt oppure digitare il nome di una funzionalità specifica, ad LookupIpAddressSmokeDataset
esempio .
Per fornire commenti e suggerimenti, contattare CrowdSec tramite Discourse o usare l'azione di supporto o feedback direttamente nella console crowdsec.