通过

GreyNoise Enterprise 和 GreyNoise 社区

  • 项目

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

GreyNoise Enterprise 是一个网络安全平台,可收集和分析 Internet 范围的扫描和攻击数据,以提供有关潜在威胁的有价值见解。 使用 GreyNoise 集成,可以使用 GreyNoise 数据库增强组织的安全状况、识别新出现的威胁,并确定响应工作的优先级。 可以将 GreyNoise Enterprise 或 GreyNoise 社区插件与安全 Copilot 配合使用,以获取有关 IP 地址、扫描活动和攻击者行为的信息。

注意

本文包含有关第三方插件的信息。 这是为了帮助完成集成方案而提供的。 但是,Microsoft不提供对第三方插件的故障排除支持。 请联系第三方供应商获取支持。

在开始之前了解

与安全 Copilot 的集成适用于 GreyNoise 帐户和 API 密钥。 根据所选计划,你可能限制了可以使用 API 密钥运行的查询数量。 在使用插件之前,需要执行以下步骤。

  1. 获取 GreyNoise 凭据和 API 密钥。 如果还没有,请按照以下步骤操作:

    1. 转到 GreyNoise 网站并创建帐户。

      可以从免费帐户开始,以获取社区 API 密钥,或购买订阅以获取企业 API 密钥。

    2. GreyNoise 可视化工具的右上角中,选择你的姓名,然后选择“我的 API 密钥”。

    3. 复制 API 密钥。

  2. 登录到 Microsoft 安全 Copilot

  3. 通过从提示栏中选择“插件”按钮,访问“管理插件”。

  4. 采取以下步骤之一:

    • 如果购买了 GreyNoise 企业版订阅,请启用“GreyNoise Enterprise 插件”。
    • 如果使用的是免费的 GreyNoise 帐户,请启用“GreyNoise 社区插件”。

  5. 选择“设置”图标,然后在“”字段中粘贴 API 密钥,然后选择“保存”。

示例灰色Noise 提示

设置 GreyNoise 插件后,可以通过在 Copilot for Security 的提示栏中键入功能名称来使用它。 例如,可以键入 LookupIpAddressNoise

下表汇总了功能及其用途。

功能 示例提示 功能
Lookup IP Address Noise
(适用于 GreyNoise Enterprise 或 GreyNoise 社区)

必需输入:IP 地址(v4 或 v6)		 - Tell me about Ip address "118.25.6.39" using the GreyNoise database

- Use the GreyNoise database to provide info on "118.25.6.39"

- What does the GreyNoise database say about the IP address 180.126.219.127?

- I'm curious about any GreyNoise records for the IP address 180.126.219.127. Can you look that up for me?

- Can you provide me with information on any GreyNoise reports for the IP address 180.126.219.127?

- I'd like to know if there are any GreyNoise entries for the IP address 180.126.219.127. Can you check that for me?

- Could you give me an overview of the GreyNoise record for the IP address 180.126.219.127?		 检索有关所提供 IP 地址的干扰信息。 返回以下类型的信息:

- IP 地址分类,如恶意

- 干扰,例如 IP 地址是否可能涉及某种形式的恶意活动

- Riot,例如 IP 是否属于已知良性服务或基础结构

- 与 IP 关联的名称

- 上次查看时间(IP 上次处于活动状态的时间)

- 链接:用于在 GreyNoise 上可视化 IP 活动的链接

- 成功或错误消息,具体取决于查找是否成功
Lookup IP Context
(需要 GreyNoise Enterprise)

必需输入:IP 地址(v4 或 v6)		 Find the GreyNoise IP Context for IP 183.221.243.13 提供有关 GreyNoise 扫描 Internet 时观察到的 IP 上下文。

返回一组全面的信息,包括分类(恶意、良性等)、上次查看时间戳、关联的行动者、标记和元数据。
Lookup IP Quick
(需要 GreyNoise Enterprise)

必需输入:IP 地址(v4 或 v6)		 Use GreyNoise to do a quick check of IP 183.221.243.13 提供快速方法以检查 IP 是否为“干扰”。

返回一个布尔值,指示该 IP 是否存在于数据集中。
Lookup Multiple IPs
(需要 GreyNoise Enterprise)

必需输入:IP 地址(v4 或 v6)		 Lookup Multiple IPs using GreyNoise 183.221.243.13 and 8.8.8.8 提供快速检查多个 IP 的信息的方法。

返回每个 IP 地址的上下文信息数组,类似于 LookupIpContext 终结点。
Lookup IP Riot
(需要 GreyNoise Enterprise)

必需输入:IP 地址(v4 或 v6)		 Use GreyNoise to check the Riot information on IP 183.221.243.13 提供有关通常添加到允许列表的 IP 的信息。

返回一个布尔值,指示 IP 是否属于 RIOT 数据集,以及一些基本上下文信息(如果它属于)。
Lookup GNQL
(需要 GreyNoise Enterprise)

必需输入:GNQL 查询		 Use GreyNoise to check the GNQL information on tags:"RDP Scanner" 允许使用 GreyNoise 查询语言 (GNQL) 对 GreyNoise 数据集执行复杂查询。

返回与 GNQL 查询匹配的结果数组。
Look up CVE
(需要 GreyNoise Enterprise)

必需输入:CVE		 Use the GreyNoise Query Language (GNQL) stats to query against the GreyNoise dataset for CVE information 允许使用 GreyNoise 查询语言 (GNQL) 统计信息,针对 GreyNoise 数据集查询 CVE 信息

返回与 GNQL CVE 查询匹配的结果数组。

对 GreyNoise 插件进行故障排除

发生错误

如果遇到错误(例如 无法完成请求发生未知错误),请确保插件已打开。 如果问题仍然存在,请注销 Microsoft 安全 Copilot,然后重新登录。

提示未调用正确的功能

如果提示未调用正确的功能,或者提示调用其他一些功能集,则可能具有与要使用的功能集类似的自定义插件或其他插件。 要确定优先级并以 GreyNoise 为目标,请尝试禁用其他自定义插件。

提供反馈

若要提供反馈,请联系 GreyNoise

另请参阅

适用于 Microsoft 安全 Copilot 的其他插件

管理 Microsoft 安全 Copilot 中的插件