CrowdSec Cyber Threat Intelligence

Artikel
12/12/2024

CrowdSec Threat Intelligence ist ein Open-Source-Sicherheitsstapel für die Zusammenarbeit, mit dem Sie Verhaltensweisen analysieren, auf Angriffe reagieren und Signale in der community teilen können. CrowdSec Threat Intelligence bietet Informationen über IP-Adressen und die Überprüfung oder Identifizierung potenziell aggressiver IP-Adressen. Sie können das CrowdSec Cyber Threat Intelligence (CrowdSec CTI)-Plug-In mit Microsoft Security Copilot verwenden.

Dieses Plug-In ermöglicht es Benutzern, ihre IP-Untersuchungen mit Threat Intelligence zu verbessern, die von CrowdSec stammen, und Erkenntnisse wie die folgenden zu erhalten:

Zusammengestellte IP- und IP-Bereichsreputation
Bewertung des Hintergrundgeräuschpegels
Detaillierte Aufzeichnungen bösartiger Verhaltensweisen
MITRE-Techniken, die der IP-Adresse zugeordnet sind
Vom Angreifer ins Visier genommene Länder
Klassifizierung des Angreifers
Historische Aktivitäts- und Aggressivitätsmetriken (für die letzten 24 Stunden, 7 Tage, 30 Tage und insgesamt)

Hinweis

Dieser Artikel enthält Informationen zu Plug-Ins von Drittanbietern. Dies wird bereitgestellt, um Integrationsszenarien abzuschließen. Microsoft bietet jedoch keine Unterstützung bei der Problembehandlung für Plug-Ins von Drittanbietern. Wenden Sie sich an den Drittanbieter, um Support zu erhalten.

Klare Ideen vor dem Loslegen

Die Integration in Security Copilot funktioniert mit einem API-Schlüssel. Sie müssen die folgenden Schritte ausführen, bevor Sie das Plug-In verwenden.

Hinweis

Je nachdem, über welches Konto Sie verfügen, gilt möglicherweise ein Grenzwert von bis zu 50 Abfragen pro Tag. Dies hängt von Ihrer Lizenzierung für CrowdSec ab.

Rufen Sie Ihren CrowdSec-API-Schlüssel ab. Wenn Sie noch keinen haben, führen Sie die folgenden Schritte aus:
1. Rufen Sie die CrowdSec-Website auf, und erstellen Sie Ihr kostenloses Konto.
2. Wechseln Sie in den Einstellungen Ihres persönlichen Kontos zu API-Schlüssel, und wählen Sie + Neuer Schlüsselaus. Sie können die [Schritte hier] (https://doc.crowdsec.net/u/cti_api/integration_securitycopilot/) ausführen.
Melden Sie sich bei Microsoft Security Copilot an.
Greifen Sie auf Plug-Ins verwalten zu, indem Sie auf der Eingabeaufforderungsleiste die Schaltfläche Plug-In auswählen.
Wählen Sie neben CrowdSec Threat Intelligence die Option Einrichten aus.
Fügen Sie im Feld Wert Ihren API-Schlüssel ein, und wählen Sie dann Speichernaus.

Beispiel für CrowdSec-CTI-Eingabeaufforderungen

Nachdem das CrowdSec CTI-Plug-In konfiguriert wurde, können Sie es verwenden, indem Sie einen der folgenden Schritte ausführen:

Greifen Sie direkt auf die Funktion zu, LookupIpAddressSmokeDataset indem Sie in die Eingabeaufforderungsleiste eingeben. oder
Auffordern Security Copilot, die CrowdSec Threat Intelligence-API für eine IP-Adresse zu verwenden

In der folgenden Tabelle wird die Funktionsweise dieser Funktion zusammengefasst.

Funktion Funktion der Einstellung

LookupIpAddressSmokeDataset

Beispieleingabeaufforderung(n):
- Was kann CrowdSec zu dieser IP sagen: [IP]
- Laut CrowdSec sind die Länder, die am häufigsten von dieser IP-Adresse betroffen sind: [IP]
- Eingaben: [IP]

Erforderliche Eingabe: IP-Adresse Durchsucht das Dataset von CrowdSec nach einer IP-Adresse, um mehr über Folgendes zu erfahren:

- Was es in Bezug auf beobachtete Verhaltensweisen, gezielte Protokolle und ausgenutzte Sicherheitsrisiken bewirkt.

– In welche Kategorien es gehört, z. B. Proxy/VPN, CDN-Exitknoten und Legit-Sicherheitsscanner.

- Worauf es abzielt, in Bezug auf Länder oder Dienstleistungen.

- Vorhandene Querverweise, z. B. Listen

- Wie virulent es ist.

– Wie lange dies von Benutzern gemeldet wurde.

- Das Konfidenzniveau der Informationen.

Funktion	Funktion der Einstellung
`LookupIpAddressSmokeDataset` Beispieleingabeaufforderung(n): - Was kann CrowdSec zu dieser IP sagen: [IP] - Laut CrowdSec sind die Länder, die am häufigsten von dieser IP-Adresse betroffen sind: [IP] - Eingaben: [IP] Erforderliche Eingabe: IP-Adresse	Durchsucht das Dataset von CrowdSec nach einer IP-Adresse, um mehr über Folgendes zu erfahren: - Was es in Bezug auf beobachtete Verhaltensweisen, gezielte Protokolle und ausgenutzte Sicherheitsrisiken bewirkt. – In welche Kategorien es gehört, z. B. Proxy/VPN, CDN-Exitknoten und Legit-Sicherheitsscanner. - Worauf es abzielt, in Bezug auf Länder oder Dienstleistungen. - Vorhandene Querverweise, z. B. Listen - Wie virulent es ist. – Wie lange dies von Benutzern gemeldet wurde. - Das Konfidenzniveau der Informationen.

Problembehandlung für das CTI-Plug-In

Fehler treten auf

Wenn Fehler auftreten, z. B . Konnte Ihre Anforderung nicht abschließen oder Unbekannter Fehler aufgetreten, stellen Sie sicher, dass das Plug-In aktiviert ist. Wenn das Problem weiterhin besteht, melden Sie sich bei Security Copilot ab, und melden Sie sich dann wieder an.

Prompts nicht die richtigen Funktionen aufrufen

Wenn Eingabeaufforderungen nicht die richtigen Funktionen aufrufen oder Eingabeaufforderungen einen anderen Funktionssatz aufrufen, verfügen Sie möglicherweise über benutzerdefinierte Plug-Ins oder andere Plug-Ins, die über ähnliche Funktionen wie der Funktionssatz verfügen, den Sie verwenden möchten. Sie können entweder den Produktnamen CrowdSec in Ihren Eingabeaufforderungen verwenden oder stattdessen den Namen einer bestimmten Funktion LookupIpAddressSmokeDataset eingeben.

Feedback geben

Um Feedback zu geben, kontaktieren Sie CrowdSec über Discourse oder über die Support- oder Feedbackaktion direkt in Ihrer CrowdSec-Konsole.

Siehe auch

Nicht-Microsoft-Plug-Ins für Microsoft Security Copilot

Verwalten von Plug-Ins in Microsoft Security Copilot

Freigeben über