CrowdSec 网络威胁情报
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
CrowdSec 威胁情报是一种开放源代码的协作式安全堆栈,可用于分析行为、响应攻击以及在社区中共享信号。 CrowdSec 威胁情报提供有关 IP 地址以及验证或识别潜在攻击性 IP 地址的信息。 可以将 CrowdSec 网络威胁情报 (CrowdSec CTI) 插件与 Microsoft 安全 Copilot 配合使用。
注意
本文包含有关第三方插件的信息。 这是为了帮助完成集成方案而提供的。 但是,Microsoft不提供对第三方插件的故障排除支持。 请联系第三方供应商获取支持。
在开始之前了解
与安全 Copilot 的集成通过 API 密钥来实现。 在使用插件之前,需要执行以下步骤。
注意
根据你拥有的帐户,每天最多可以有 50 个查询。 这取决于你对 CrowdSec 的许可。
获取你的 CrowdSec API 密钥。 如果还没有,请按照以下步骤操作:
转到 CrowdSec 网站 并创建你的帐户。
在个人帐户设置中,转到 API 密钥,然后选择“+ 新建密钥”。
在密钥旁边,选择“复制”图标。
登录到 Microsoft 安全 Copilot。
通过从提示栏中选择“插件”按钮,访问“管理插件”。
在“CrowdSec 威胁情报”旁边,选择“设置”。
在“值”字段中,粘贴 API 密钥,然后选择“保存”。
CrowdSec CTI 提示示例
配置 CrowdSec CTI 插件后,可以通过执行以下步骤之一来使用它:
- 通过在提示栏中键入
LookupIpAddressSmokeDataset直接访问功能;或者 - 提示 Microsoft 安全 Copilot 在 IP 地址上使用 CrowdSec 威胁情报 API
下表总结了此功能的工作原理。
| 功能 | 功能 |
|---|---|
LookupIpAddressSmokeDataset 必需输入: IP 地址 |
搜索 CrowdSec 的数据集以查找 IP 地址,以了解有关以下内容的详细信息: - 它有利于观察行为、目标协议和被利用漏洞方面的操作。 - 在它所属的类别中,例如代理/VPN、CDN 退出节点和 Legit 安全扫描程序。 - 它的目标是国家或服务。 - 现有交叉引用,如列表 - 它的伤害程度。 - 用户报告时长。 - 信息的置信度。 |
CTI 插件疑难解答
发生错误
如果遇到错误(例如 无法完成请求或 发生未知错误),请确保插件已打开。 如果问题仍然存在,请注销 Microsoft 安全 Copilot,然后重新登录。
提示未调用正确的功能
如果提示未调用正确的功能,或者提示调用其他一些功能集,则可能具有与要使用的功能集类似的自定义插件或其他插件。 若要确定优先级并以 CrowdSec 为目标,请尝试禁用其他自定义插件。 或者,可以在提示中使用产品名称 CrowdSec ,也可以键入特定功能的名称,例如 LookupIpAddressSmokeDataset 。
提供反馈
若要提供反馈,请联系 CrowdSec。