CrowdSec 사이버 위협 인텔리전스

2025-04-20

CrowdSec 위협 인텔리전스 는 동작을 분석하고, 공격에 대응하고, 커뮤니티 전체에서 신호를 공유할 수 있는 오픈 소스 공동 작업 보안 스택입니다. CrowdSec 위협 인텔리전스는 IP 주소에 대한 정보를 제공하며 잠재적 공격형 IP 주소를 확인 또는 식별합니다. Microsoft Security Copilot CrowdSec CTI(CrowdSec Cyber Threat Intelligence) 플러그 인을 사용할 수 있습니다.

이 플러그 인을 사용하면 사용자가 CrowdSec에서 공급되는 위협 인텔리전스를 사용하여 IP 조사를 개선하고 다음과 같은 인사이트를 얻을 수 있습니다.

큐레이팅된 IP 및 IP 범위 평판
백그라운드 노이즈 수준 평가
악의적인 동작에 대한 자세한 레코드
IP와 관련된 MITRE 기술
공격자가 대상으로 하는 국가/지역
공격자 분류
기록 활동 및 공격성 메트릭(지난 24시간, 7일, 30일 및 전체 포함)

참고

이 문서에는 타사 플러그 인에 대한 정보가 포함되어 있습니다. 통합 시나리오를 완료하는 데 도움이 되도록 제공됩니다. 그러나 Microsoft는 타사 플러그 인에 대한 문제 해결 지원을 제공하지 않습니다. 지원을 받으려면 타사 공급업체에 문의하세요.

시작하기 전에 다음 사항에 유의합니다.

Security Copilot 통합은 API 키에서 작동합니다. 플러그 인을 사용하기 전에 다음 단계를 수행해야 합니다.

참고

보유한 계정에 따라 하루에 최대 50개의 쿼리로 제한될 수 있습니다. 이는 CrowdSec 라이선스에 따라 달라집니다.

CrowdSec API 키를 가져옵니다. 아직 없는 경우 다음 단계를 수행합니다.
1. CrowdSec 웹 사이트로 이동하여 무료 계정을 만듭니다.
2. 개인 계정 설정에서 API 키로 이동하여 + 새 키를 선택합니다. [여기 단계]()를 따를 수 있습니다.https://doc.crowdsec.net/u/cti_api/integration_securitycopilot/
Microsoft Security Copilot 로그인합니다.
프롬프트 바에서 플러그 인 단추를 선택하여 플러그 인 관리에 액세스합니다.
CrowdSec 위협 인텔리전스 옆에 있는 설정을 선택합니다.
값 필드에 API 키를 붙여넣은 다음 저장을 선택합니다.

샘플 CrowdSec CTI 프롬프트

CrowdSec CTI 플러그 인을 구성하고 나면 다음 단계 중 하나를 수행하여 사용할 수 있습니다.

프롬프트 표시줄에 를 입력하여 LookupIpAddressSmokeDataset 기능에 직접 액세스하거나
IP 주소에서 CrowdSec 위협 인텔리전스 API를 사용하도록 Security Copilot 프롬프트

다음 표에서는 이 기능의 작동 방식을 요약합니다.

기능 속성 기능

LookupIpAddressSmokeDataset

프롬프트 예제:
- CrowdSec에서 이 IP에 대해 알려줄 수 있는 내용: [IP]
- CrowdSec에 따르면 이 IP에서 가장 많이 대상으로 하는 국가/지역은 무엇인가요? [IP]
- 입력: [IP]

필수 입력: IP 주소 CrowdSec의 데이터 집합에서 IP 주소를 검색하여 다음 사항에 대해 자세히 알아봅니다.

- 관찰된 동작, 대상 프로토콜, 악용된 취약성 측면에서 무슨 작업을 수행하는가

- 프록시/VPN, CDN 종료 노드, 합법적 보안 검사기 등 어떤 범주에 속하는가

- 국가/지역 또는 서비스 측면에서 대상을 지정합니다.

- 목록 등 현존하는 상호 참조 자료

- 치명성 정도

- 사용자에 의해 보고된 기간

- 정보의 신뢰 수준

기능	속성 기능
`LookupIpAddressSmokeDataset` 프롬프트 예제: - CrowdSec에서 이 IP에 대해 알려줄 수 있는 내용: [IP] - CrowdSec에 따르면 이 IP에서 가장 많이 대상으로 하는 국가/지역은 무엇인가요? [IP] - 입력: [IP] 필수 입력: IP 주소	CrowdSec의 데이터 집합에서 IP 주소를 검색하여 다음 사항에 대해 자세히 알아봅니다. - 관찰된 동작, 대상 프로토콜, 악용된 취약성 측면에서 무슨 작업을 수행하는가 - 프록시/VPN, CDN 종료 노드, 합법적 보안 검사기 등 어떤 범주에 속하는가 - 국가/지역 또는 서비스 측면에서 대상을 지정합니다. - 목록 등 현존하는 상호 참조 자료 - 치명성 정도 - 사용자에 의해 보고된 기간 - 정보의 신뢰 수준

CTI 플러그 인 문제 해결

오류가 발생합니다.

요청을 완료할 수 없거나 알 수 없는오류가 발생한 경우 플러그 인이 켜져 있는지 확인합니다. 문제가 지속되면 Security Copilot 로그아웃한 다음 다시 로그인합니다.

프롬프트 올바른 기능을 호출하지 않습니다.

프롬프트가 올바른 기능을 호출하지 않거나 프롬프트가 다른 기능 집합을 호출하는 경우 사용하려는 기능 집합과 유사한 기능을 가진 사용자 지정 플러그 인 또는 기타 플러그 인이 있을 수 있습니다. 프롬프트에서 제품 이름을 CrowdSec 사용하거나 같은 특정 기능 LookupIpAddressSmokeDataset 의 이름을 입력할 수 있습니다.

피드백 제공

피드백을 제공하려면 담론 을 통해 CrowdSec에 문의하거나 CrowdSec 콘솔에서 직접 지원 또는 피드백 작업을 사용합니다.

참고 항목

Microsoft Security Copilot 대한 비 Microsoft 플러그 인

Microsoft Security Copilot 플러그 인 관리