CrowdSec 威脅情報 是一個開源的協作安全堆疊,能讓你分析行為、回應攻擊,並在社群中分享訊號。 CrowdSec 威脅情報提供有關 IP 位址的資訊,以及驗證或識別潛在的惡意 IP 位址。 你可以搭配 Microsoft Security Copilot 使用 CrowdSec 網路威脅情報 (CrowdSec CTI) 外掛。
此外掛讓使用者能利用來自 CrowdSec 的威脅情報強化智慧財產調查,並獲得如下洞察:
- 精選的 IP 與 IP 範圍聲譽
- 背景噪音等級評估
- 惡意行為的詳細紀錄
- 與 IP 相關的 MITRE 技術
- 攻擊者鎖定的國家/地區
- 攻擊者的分類
- 歷史活動與攻擊性指標 (涵蓋過去24小時、7天、30天及整體)
注意事項
本文包含有關第三方外掛的資訊。 此功能旨在協助完成整合情境。 然而,Microsoft 並未提供第三方外掛的故障排除支援。 請聯絡第三方供應商尋求支援。
開始之前的須知事項
與 Security Copilot 的整合是透過 API 金鑰運作的。 在使用外掛前,你需要先完成以下步驟。
注意事項
視您擁有的帳戶而定,您每天可以有 50 次查詢上限。 這取決於您的 CrowdSec 授權。
取得您的 CrowdSec API 金鑰。 如果您還沒有,請遵循下列步驟:
請前往 CrowdSec 網站 並建立您的免費帳號。
在您的個人帳戶設定中,前往 API 金鑰 然後選取 [+ 新增金鑰]。 你可以依照這裡的步驟 (https://doc.crowdsec.net/u/cti_api/integration_securitycopilot/)
從提示列選取 外掛程式 按鈕,存取 管理外掛程式。
在 CrowdSec 威脅情報 旁,選取 設定。
在 值 欄位中,貼上您的 API 金鑰,然後選取 儲存。
CrowdSec CTI 範例提示
設定 CrowdSec CTI 外掛程式之後,您可以採取下列其中一個步驟來使用它:
- 可直接在提示欄輸入
LookupIpAddressSmokeDataset該功能;或 - 提示 Security Copilot 在 IP 位址上使用 CrowdSec 威脅情報 API
下表總結了這項功能的運作方式。
| 功能 | 功能 |
|---|---|
LookupIpAddressSmokeDataset 範例提示 (s) : - CrowdSec 能告訴我關於這個 IP: [IP] 的資訊嗎? - 根據 CrowdSec,該 IP 主要鎖定的國家/地區為哪些:[IP] - 輸入:[IP] 必要輸入: IP 位址 |
搜尋 CrowdSec 的資料集來獲得 IP 位址以深入了解: - 它在觀察到的行為、目標通訊協定和惡意探索弱點方面的功能。 - 在它所屬的類別中,例如 Proxy/VPN、CDN 結束節點及合法的安全性掃描程式。 - 其目標對象,包括國家/地區或服務。 - 現有的相互參照,例如清單 - 它的惡性程度。 - 使用者回報的時間長短。 - 資訊的信賴等級。 |
疑難排解 CTI 外掛程式
錯誤時有發生
如果你遇到錯誤,例如 「無法完成你的請求」或 「發生未知錯誤」,請確保外掛已開啟。 如果問題依舊,請登出 Security Copilot,然後再登入。
提示沒有呼叫正確的功能
如果提示詞沒有呼叫正確的功能,或是提示詞呼叫了其他能力集,你可能會有自訂外掛或其他外掛,這些外掛功能與你想用的能力集相似。 你可以在提示中使用產品名稱 CrowdSec ,或是輸入特定功能的名稱,例如 LookupIpAddressSmokeDataset sinstead 。
提供意見反應
如需提供回饋,請透過 Discourse 或直接在 CrowdSec 控制台中使用支援或回饋操作聯絡 CrowdSec。