Red Canary 提供管理型偵測與回應 (MDR) 及其他安全功能,以保護端點、網路、雲端工作負載、身份及 SaaS 應用。 你可以使用 Red Canary 外掛搭配 Microsoft Security Copilot,來強化你的安全運作。
注意事項
本文包含有關第三方外掛的資訊。 此功能旨在協助完成整合情境。 然而,Microsoft 並未提供第三方外掛的故障排除支援。 請聯絡第三方供應商尋求支援。
開始之前的須知事項
與 Security Copilot 整合需要 API 金鑰。 您必須在 Red Canary 中指定分析師檢視器或管理員角色,才能取得您的 API 金鑰,並且在使用外掛前需完成以下步驟。
取得你的 Red Canary API 金鑰。 如果您還沒有,請遵循下列步驟:
前往紅金絲雀入口並登入。
在右上角,在你的名字旁邊,選擇 查看個人檔案。
在 「產生 API 認證令牌」中,選擇 「產生」。
複製並儲存你的 API 金鑰。 我們建議使用安全的密碼保險庫。
透過從提示欄選擇「來源」按鈕來存取管理插件。
在 紅金絲雀旁邊,選擇切換開關來啟用它。
請在 Value 欄位輸入你的 Red Canary 子網域 URL 和 API 代幣。
儲存變更。
紅金絲雀範例提示
Red Canary 外掛設定好後,你可以在 Security Copilot 提示欄輸入Red Canary,接著輸入動作來使用。 以下截圖展示了你可以使用的 Red Canary 功能。
以下表格提供了幾個你可以嘗試的範例:
| API 端點 | 提示 |
|---|---|
openapi/v3/endpoints |
Show me the 25 most recent endpoints in Red Canary |
openapi/v3/endpoint_users |
Can you show me the most recent 10 endpoint users in Red Canary? |
openapi/v3/detections |
Show me the 10 most recent threats in Red Canary |
/openapi/v3/detections/marked_indicators_of_compromise |
Are there any IOCs in Red Canary? |
/openapi/v3/customer/external_alerts |
Can you show me the external alerts in Red Canary? |
/openapi/v3/customer/external_alerts/{id} |
Can you give me more details on Red Canary external alert 371119? |
/openapi/v3/customer/intel_reporting |
How many events were analyzed by Red Canary |
/openapi/v3/detections/{id} |
Can you give me more details on Red Canary Threat ID 72? |
/openapi/v3/endpoints/sensor_id/{sensor_id} |
Can you give me more details on Red Canary sensor ID 169428575? |
/openapi/v3/endpoints/{id} |
Can you give me more info on endpoint ID 100000074413556 in Red Canary? |
/openapi/v3/detections/{id}/timeline |
Can you show me the threat timeline entries for Threat ID 72? |
/openapi/v3/detections/{id}/detectors |
Can you list the detectors in Threat 72? |
/openapi/v3/detections/{id}/related_detections |
Can you show me related detections for Threat 72? |
/openapi/v3/detections/{id}/marked_indicators_of_compromise |
Can you show me an IOCs in Threat 72? |
/openapi/v3/endpoint_users/{id} |
Can you give me more information about Endpoint User ID: 100000305141114? |
/openapi/v3/detections/{id}/events |
Can you show me all the events in Threat 72? |
/openapi/v3/endpoint_users/{id}/system_activities |
Can you show me the activities for Endpoint User ID 100000305141114 |
/openapi/v3/endpoints/{id}/endpoint_users |
Can you show me the users from Endpoint ID: 100000060390802? |
/openapi/v3/search/ip_addresses/{ip_address} |
can you search for ip address 172.16.16.16 in Red Canary? |
/openapi/v3/search/endpoint_hostnames/{endpoint_hostname} |
Can you search in Red Canary for hostname vtw-ad10a49823a? |
/openapi/v3/events |
Can you show me the most recent events investigated by Red Canary? |
常見問題集 (FAQ)
為什麼提示詞會失敗?
如果提示無法調用,請確保你使用的是支援的提示 (查看前述表格) 。
為什麼我會出現錯誤?
如果你在使用插件時遇到錯誤,請確認你所在區域 (AWS US-East-2) 沒有 AWS 故障。
提供意見反應
如需回饋,請聯絡 Red Canary。
另請參閱
Microsoft Security Copilot 的非 Microsoft 外掛Microsoft Security Copilot 管理外掛