使用英语阅读

通过


CrowdSec 网络威胁情报

CrowdSec 威胁情报 是一个开源的协作安全堆栈,可用于分析行为、响应攻击并在社区中共享信号。 CrowdSec 威胁情报提供有关 IP 地址以及验证或识别潜在攻击性 IP 地址的信息。 可以将 CrowdSec 网络威胁情报 (CrowdSec CTI) 插件与Microsoft Security Copilot配合使用。

此插件允许用户使用来自 CrowdSec 的威胁情报来增强其 IP 调查,并获取见解,例如:

  • 特选 IP 和 IP 范围信誉
  • 背景噪音级别评估
  • 恶意行为的详细记录
  • 与 IP 关联的 MITRE 技术
  • 攻击者针对的国家/地区
  • 攻击者的分类
  • 历史活动和积极性指标 (涵盖过去 24 小时、7 天、30 天和总体)

备注

本文包含有关第三方插件的信息。 这是为了帮助完成集成方案而提供的。 但是,Microsoft不提供对第三方插件的故障排除支持。 请联系第三方供应商获取支持。

在开始之前了解

与 Security Copilot 集成适用于 API 密钥。 在使用插件之前,需要执行以下步骤。

备注

根据你拥有的帐户,每天最多可以有 50 个查询。 这取决于你对 CrowdSec 的许可。

  1. 获取你的 CrowdSec API 密钥。 如果还没有,请按照以下步骤操作:

    1. 转到 CrowdSec 网站 并创建免费帐户。

    2. 在个人帐户设置中,转到 API 密钥,然后选择“+ 新建密钥”。 可以按照 [此处的步骤] (https://doc.crowdsec.net/u/cti_api/integration_securitycopilot/)

  2. 登录到 Microsoft Security Copilot

  3. 通过从提示栏中选择“插件”按钮,访问“管理插件”。

  4. 在“CrowdSec 威胁情报”旁边,选择“设置”。

  5. 在“”字段中,粘贴 API 密钥,然后选择“保存”。

CrowdSec CTI 提示示例

配置 CrowdSec CTI 插件后,可以通过执行以下步骤之一来使用它:

  • 通过在提示栏中键入 LookupIpAddressSmokeDataset 直接访问功能;或者
  • 提示Security Copilot在 IP 地址上使用 CrowdSec 威胁情报 API

下表总结了此功能的工作原理。

功能 功能
LookupIpAddressSmokeDataset

示例提示 () :
- CrowdSec 可以告诉我有关此 IP 的信息:[IP]
- 根据 CrowdSec,此 IP 的热门目标国家/地区是什么:[IP]
- 输入:[IP]

必需输入: IP 地址
搜索 CrowdSec 的数据集以查找 IP 地址,以了解有关以下内容的详细信息:

- 它有利于观察行为、目标协议和被利用漏洞方面的操作。

- 在它所属的类别中,例如代理/VPN、CDN 退出节点和 Legit 安全扫描程序。

- 它的目标是国家或服务。

- 现有交叉引用,如列表

- 它的伤害程度。

- 用户报告时长。

- 信息的置信度。

CTI 插件疑难解答

发生错误

如果遇到错误(例如 无法完成请求发生未知错误),请确保插件已打开。 如果问题仍然存在,请注销Security Copilot,然后重新登录。

提示未调用正确的功能

如果提示未调用正确的功能,或者提示调用其他一些功能集,则可能具有与要使用的功能集类似的自定义插件或其他插件。 可以在提示中使用产品名称 CrowdSec ,也可以键入特定功能的名称,例如 LookupIpAddressSmokeDataset

提供反馈

若要提供反馈,请通过 Discourse 联系 CrowdSec,或者直接在 CrowdSec 控制台中使用支持或反馈操作。

另请参阅

用于Microsoft Security Copilot的非Microsoft插件

在 Microsoft Security Copilot 中管理插件