Freigeben über


GreyNoise Enterprise- und GreyNoise-Community

GreyNoise Enterprise ist eine Cybersicherheitsplattform, die internetweite Scan- und Angriffsdaten sammelt und analysiert, um wertvolle Einblicke in potenzielle Bedrohungen zu erhalten. Mit der GreyNoise-Integration können Sie die GreyNoise-Datenbank verwenden, um den Sicherheitsstatus Ihrer Organisation zu verbessern, neue Bedrohungen zu identifizieren und die Reaktion zu priorisieren. Sie können entweder das GreyNoise Enterprise- oder GreyNoise Community-Plug-In mit Security Copilot verwenden, um Informationen zu IP-Adressen, Scanaktivitäten und Angreiferverhalten zu erhalten.

Hinweis

Dieser Artikel enthält Informationen zu Plug-Ins von Drittanbietern. Dies wird bereitgestellt, um Integrationsszenarien abzuschließen. Microsoft bietet jedoch keine Unterstützung bei der Problembehandlung für Plug-Ins von Drittanbietern. Wenden Sie sich an den Drittanbieter, um Support zu erhalten.

Klare Ideen vor dem Loslegen

Die Integration in Security Copilot funktioniert mit einem GreyNoise-Konto und einem API-Schlüssel. Je nach ausgewähltem Plan können Sie festlegen, wie viele Abfragen Sie mit Ihrem API-Schlüssel ausführen können. Sie müssen die folgenden Schritte ausführen, bevor Sie das Plug-In verwenden.

  1. Rufen Sie Ihre GreyNoise-Anmeldeinformationen und ihren API-Schlüssel ab. Wenn sie noch nicht vorhanden sind, führen Sie die folgenden Schritte aus:

    1. Wechseln Sie zur GreyNoise-Website, und erstellen Sie Ihr Konto.

      Sie können mit einem kostenlosen Konto beginnen, um einen Community-API-Schlüssel zu erhalten, oder ein Abonnement erwerben, um einen Enterprise-API-Schlüssel zu erhalten.

    2. Wählen Sie in GreyNoise Visualizer in der oberen rechten Ecke Ihren Namen und dann Mein API-Schlüssel aus.

    3. Kopieren Sie Ihren API-Schlüssel.

  2. Melden Sie sich bei Microsoft Security Copilot an.

  3. Greifen Sie auf Plug-Ins verwalten zu, indem Sie in der Eingabeaufforderungsleiste auf die Schaltfläche Plug-In klicken.

  4. Führen Sie einen der folgenden Schritte aus:

    • Wenn Sie ein GreyNoise Enterprise-Abonnement erworben haben, aktivieren Sie GreyNoise Enterprise-Plug-In.
    • Wenn Sie ein kostenloses GreyNoise-Konto verwenden, aktivieren Sie GreyNoise Community Plug-In.
  5. Wählen Sie das Symbol "Einstellungen" aus, fügen Sie im Feld Wert Ihren API-Schlüssel ein, und wählen Sie dann Speichern aus.

Beispiel für GreyNoise-Eingabeaufforderungen

Nachdem Sie Ihr GreyNoise-Plug-In eingerichtet haben, können Sie es verwenden, indem Sie in der Eingabeaufforderungsleiste in Security Copilot einen Funktionsnamen eingeben. Sie können z. B. LookupIpAddressNoise eingeben.

In der folgenden Tabelle sind die Funktionen und deren Funktionsweise zusammengefasst.

Funktion Beispieleingabeaufforderungen Funktion der Einstellung
Lookup IP Address Noise
(funktioniert mit GreyNoise Enterprise oder GreyNoise Community)

Erforderliche Eingabe: IP-Adresse (v4 oder v6)
- Tell me about Ip address "118.25.6.39" using the GreyNoise database

- Use the GreyNoise database to provide info on "118.25.6.39"

- What does the GreyNoise database say about the IP address 180.126.219.127?

- I'm curious about any GreyNoise records for the IP address 180.126.219.127. Can you look that up for me?

- Can you provide me with information on any GreyNoise reports for the IP address 180.126.219.127?

- I'd like to know if there are any GreyNoise entries for the IP address 180.126.219.127. Can you check that for me?

- Could you give me an overview of the GreyNoise record for the IP address 180.126.219.127?
Ruft Rauschinformationen über die angegebene IP-Adresse ab. Gibt die folgenden Arten von Informationen zurück:

– IP-Adressklassifizierung, z. B. bösartig

– Rauschen, z. B. ob die IP-Adresse wahrscheinlich an einer Form bösartiger Aktivitäten beteiligt ist

– Wie etwa, ob die IP-Adresse Teil eines bekannten harmlosen Diensts oder einer Infrastruktur ist

– Name, der der IP-Adresse zugeordnet ist

– Zuletzt angezeigt (als die IP zuletzt aktiv war)

- Link: Ein Link zum Visualisieren der IP-Aktivität auf GreyNoise

– Erfolgs- oder Fehlermeldung, je nachdem, ob die Suche erfolgreich war
Lookup IP Context
(erfordert GreyNoise Enterprise)

Erforderliche Eingabe: IP-Adresse (v4 oder v6)
Find the GreyNoise IP Context for IP 183.221.243.13 Stellt Kontext zu IP-Adressen bereit, die GreyNoise beim Scannen des Internets beobachtet hat.

Gibt einen umfassenden Satz von Informationen zurück, einschließlich Klassifizierung (bösartig, harmlos usw.), Zeitstempel der letzten Anzeige, zugeordnete Akteure, Tags und Metadaten.
Lookup IP Quick
(erfordert GreyNoise Enterprise)

Erforderliche Eingabe: IP-Adresse (v4 oder v6)
Use GreyNoise to do a quick check of IP 183.221.243.13 Bietet eine schnelle Möglichkeit, um zu überprüfen, ob eine IP-Adresse "Rauschen" ist oder nicht.

Gibt einen booleschen Wert zurück, der angibt, ob die IP-Adresse im Dataset vorhanden ist.
Lookup Multiple IPs
(erfordert GreyNoise Enterprise)

Erforderliche Eingabe: IP-Adresse (v4 oder v6)
Lookup Multiple IPs using GreyNoise 183.221.243.13 and 8.8.8.8 Bietet eine schnelle Möglichkeit, Informationen zu mehreren IP-Adressen zu überprüfen.

Gibt ein Array von Kontextinformationen für jede IP-Adresse zurück, ähnlich dem LookupIpContext-Endpunkt.
Lookup IP Riot
(erfordert GreyNoise Enterprise)

Erforderliche Eingabe: IP-Adresse (v4 oder v6)
Use GreyNoise to check the Riot information on IP 183.221.243.13 Stellt Informationen zu IPs bereit, die Zulassungslisten häufig hinzugefügt werden.

Gibt einen booleschen Wert zurück, der angibt, ob die IP-Adresse Teil des CSVT-Datasets ist oder nicht, zusammen mit einigen grundlegenden Kontextinformationen( falls vorhanden).
Lookup GNQL
(erfordert GreyNoise Enterprise)

Erforderliche Eingabe: GNQL-Abfrage
Use GreyNoise to check the GNQL information on tags:"RDP Scanner" Ermöglicht die Verwendung der GreyNoise Query Language (GNQL), um komplexe Abfragen für das GreyNoise-Dataset durchzuführen.

Gibt ein Array von Ergebnissen zurück, die der GNQL-Abfrage entsprechen.
Look up CVE
(erfordert GreyNoise Enterprise)

Erforderliche Eingabe: CVE
Use the GreyNoise Query Language (GNQL) stats to query against the GreyNoise dataset for CVE information Ermöglicht die Verwendung der GNQL-Statistiken (GreyNoise Query Language) zum Abfragen des GreyNoise-Datasets nach CVE-Informationen.

Gibt ein Array von Ergebnissen zurück, die der GNQL CVE-Abfrage entsprechen.

Problembehandlung für das GreyNoise-Plug-In

Fehler treten auf

Wenn Fehler auftreten, z. B . Konnte Ihre Anforderung nicht abschließen oder Unbekannter Fehler aufgetreten, stellen Sie sicher, dass das Plug-In aktiviert ist. Wenn das Problem weiterhin besteht, melden Sie sich bei Security Copilot ab, und melden Sie sich dann wieder an.

Prompts nicht die richtigen Funktionen aufrufen

Wenn Eingabeaufforderungen nicht die richtigen Funktionen aufrufen oder Eingabeaufforderungen einen anderen Funktionssatz aufrufen, verfügen Sie möglicherweise über benutzerdefinierte Plug-Ins oder andere Plug-Ins, die über ähnliche Funktionen wie der Funktionssatz verfügen, den Sie verwenden möchten. Um GreyNoise zu priorisieren und als Ziel festzulegen, deaktivieren Sie andere benutzerdefinierte Plug-Ins.

Feedback geben

Wenden Sie sich an GreyNoise, um Feedback zu geben.

Siehe auch

Nicht-Microsoft-Plug-Ins für Microsoft Security Copilot

Verwalten von Plug-Ins in Microsoft Security Copilot