CrowdSec 网络威胁情报
CrowdSec 威胁情报 是一个开源的协作安全堆栈,可用于分析行为、响应攻击并在社区中共享信号。 CrowdSec 威胁情报提供有关 IP 地址以及验证或识别潜在攻击性 IP 地址的信息。 可以将 CrowdSec 网络威胁情报 (CrowdSec CTI) 插件与Microsoft Security Copilot配合使用。
此插件允许用户使用来自 CrowdSec 的威胁情报来增强其 IP 调查,并获取见解,例如:
- 特选 IP 和 IP 范围信誉
- 背景噪音级别评估
- 恶意行为的详细记录
- 与 IP 关联的 MITRE 技术
- 攻击者针对的国家/地区
- 攻击者的分类
- 历史活动和积极性指标 (涵盖过去 24 小时、7 天、30 天和总体)
备注
本文包含有关第三方插件的信息。 这是为了帮助完成集成方案而提供的。 但是,Microsoft不提供对第三方插件的故障排除支持。 请联系第三方供应商获取支持。
与 Security Copilot 集成适用于 API 密钥。 在使用插件之前,需要执行以下步骤。
备注
根据你拥有的帐户,每天最多可以有 50 个查询。 这取决于你对 CrowdSec 的许可。
获取你的 CrowdSec API 密钥。 如果还没有,请按照以下步骤操作:
转到 CrowdSec 网站 并创建免费帐户。
在个人帐户设置中,转到 API 密钥,然后选择“+ 新建密钥”。 可以按照 [此处的步骤] (https://doc.crowdsec.net/u/cti_api/integration_securitycopilot/)
通过从提示栏中选择“插件”按钮,访问“管理插件”。
在“CrowdSec 威胁情报”旁边,选择“设置”。
在“值”字段中,粘贴 API 密钥,然后选择“保存”。
配置 CrowdSec CTI 插件后,可以通过执行以下步骤之一来使用它:
- 通过在提示栏中键入
LookupIpAddressSmokeDataset
直接访问功能;或者 - 提示Security Copilot在 IP 地址上使用 CrowdSec 威胁情报 API
下表总结了此功能的工作原理。
功能 | 功能 |
---|---|
LookupIpAddressSmokeDataset 示例提示 () : - CrowdSec 可以告诉我有关此 IP 的信息:[IP] - 根据 CrowdSec,此 IP 的热门目标国家/地区是什么:[IP] - 输入:[IP] 必需输入: IP 地址 |
搜索 CrowdSec 的数据集以查找 IP 地址,以了解有关以下内容的详细信息: - 它有利于观察行为、目标协议和被利用漏洞方面的操作。 - 在它所属的类别中,例如代理/VPN、CDN 退出节点和 Legit 安全扫描程序。 - 它的目标是国家或服务。 - 现有交叉引用,如列表 - 它的伤害程度。 - 用户报告时长。 - 信息的置信度。 |
如果遇到错误(例如 无法完成请求或 发生未知错误),请确保插件已打开。 如果问题仍然存在,请注销Security Copilot,然后重新登录。
如果提示未调用正确的功能,或者提示调用其他一些功能集,则可能具有与要使用的功能集类似的自定义插件或其他插件。 可以在提示中使用产品名称 CrowdSec
,也可以键入特定功能的名称,例如 LookupIpAddressSmokeDataset
。
若要提供反馈,请通过 Discourse 联系 CrowdSec,或者直接在 CrowdSec 控制台中使用支持或反馈操作。