閱讀英文

共用方式為


紅色 Canary

Red Canary 提供受控偵測和回應 (MDR) 和其他安全性功能,以保護端點、網路、雲端工作負載、身分識別和 SaaS 應用程式。 您可以使用 Red Canary 外掛程式搭配 Microsoft Security Copilot 來增強您的安全性作業。

注意

本文包含第三方外掛程式的相關信息。 這是為了協助完成整合案例而提供。 不過,Microsoft不提供第三方外掛程式的疑難解答支援。 請連絡第三方廠商以取得支援。

開始之前的須知事項

與 Security Copilot 整合需要 API 金鑰。 您必須在 Red Canary 中指派分析師查看器管理員 角色,才能取得您的 API 金鑰,而且您必須先採取下列步驟,才能使用外掛程式。

  1. 取得您的 Red Canary API 金鑰。 如果您還沒有,請遵循下列步驟:

  2. 移至 Red Canary 入口網站並登入。

  3. 在右上角的名稱旁邊,選取 [ 檢視配置檔]

  4. 在 [ 產生 API 驗證令牌] 下,選取 [ 產生]

    顯示您在 Red Canary 中建立 API 金鑰位置的螢幕快照。

  5. 複製並儲存您的 API 金鑰。 建議您使用安全的密碼保存庫。

  6. 登入 Microsoft Security Copilot

  7. 從提示列選取 外掛程式 按鈕,存取 管理外掛程式

  8. [紅色 Canary] 旁,選取要啟用的切換開關。

    顯示如何開啟 Red Canary 外掛程式的螢幕快照。

  9. 提供紅色 Canary URL 和 API 令牌。

    顯示輸入 Red Canary URL 和 API 金鑰位置的螢幕快照。

  10. 儲存變更。

紅色 Canary 提示範例

設定 Red Canary 外掛程式之後,您可以在 Security Copilot 提示字元欄中輸入 Red Canary ,然後輸入動作來使用它。 下列螢幕快照顯示您可以使用的紅色 Canary 功能。

顯示可用 Red Canary 技能的螢幕快照。

下表提供數個您可以嘗試的範例:

API 端點 提示
openapi/v3/endpoints Show me the 25 most recent endpoints in Red Canary
openapi/v3/endpoint_users Can you show me the most recent 10 endpoint users in Red Canary?
openapi/v3/detections Show me the 10 most recent threats in Red Canary
/openapi/v3/detections/marked_indicators_of_compromise Are there any IOCs in Red Canary?
/openapi/v3/customer/external_alerts Can you show me the external alerts in Red Canary?
/openapi/v3/customer/external_alerts/{id} Can you give me more details on Red Canary external alert 371119?
/openapi/v3/customer/system_activities Were their any detector updates in Red Canary?
/openapi/v3/customer/intel_reporting How many events were analyzed by Red Canary
/openapi/v3/detections/{id} Can you give me more details on Red Canary Threat ID 72?
/openapi/v3/endpoints/sensor_id/{sensor_id} Can you give me more details on Red Canary sensor ID 169428575?
/openapi/v3/endpoints/{id} Can you give me more info on endpoint ID 100000074413556 in Red Canary?
/openapi/v3/detections/{id}/timeline Can you show me the threat timeline entries for Threat ID 72?
/openapi/v3/detections/{id}/detectors Can you list the detectors in Threat 72?
/openapi/v3/detections/{id}/related_detections Can you show me related detections for Threat 72?
/openapi/v3/detections/{id}/marked_indicators_of_compromise Can you show me an IOCs in Threat 72?
/openapi/v3/endpoint_users/{id} Can you give me more information about Endpoint User ID: 100000305141114?
/openapi/v3/detections/{id}/events Can you show me all the events in Threat 72?
/openapi/v3/endpoint_users/{id}/system_activities Can you show me the activities for Endpoint User ID 100000305141114
/openapi/v3/endpoints/{id}/endpoint_users Can you show me the users from Endpoint ID: 100000060390802?
/openapi/v3/search/ip_addresses/{ip_address} can you search for ip address 172.16.16.16 in Red Canary?
/openapi/v3/search/endpoint_hostnames/{endpoint_hostname} Can you search in Red Canary for hostname vtw-ad10a49823a?
/openapi/v3/events Can you show me the most recent events investigated by Red Canary?

常見問題集 (FAQ)

為什麼提示會失敗?

如果無法叫用提示,請確定您使用的是支援的提示 (查看上表) 。

為什麼我會收到錯誤?

如果您在使用外掛程式時收到錯誤,請確定您的區域中沒有 AWS 中斷, (AWS US-East-2) 。

提供意見反應

若要提供意見反應,請連絡 Red Canary

另請參閱

Microsoft Security Copilot 中 Microsoft Security Copilot Manage 外掛程式的非Microsoft外掛程式