Compartir a través de

Inteligencia sobre ciberamenazas de CrowdSec

  • Artículo

CrowdSec Threat Intelligence es una pila de seguridad colaborativa de código abierto que permite analizar comportamientos, responder a ataques y compartir señales en toda la comunidad. Inteligencia sobre amenazas de CrowdSec proporciona información sobre las direcciones IP y la verificación o identificación de direcciones IP potencialmente agresivas. Puede usar el complemento CrowdSec Cyber Threat Intelligence (CrowdSec CTI) con Microsoft Security Copilot.

Este complemento permite a los usuarios mejorar sus investigaciones de IP con inteligencia sobre amenazas procedente de CrowdSec y obtener información como:

  • Reputaciones de ip y rango ip curadas
  • Evaluación del nivel de ruido en segundo plano
  • Registros detallados de comportamientos malintencionados
  • Técnicas de MITRE asociadas a la dirección IP
  • Países dirigidos por el atacante
  • Clasificación del atacante
  • Métricas históricas de actividad y agresividad (que abarcan las últimas 24 horas, 7 días, 30 días y en general)

Nota:

Este artículo contiene información sobre complementos de terceros. Esto se proporciona para ayudar a completar escenarios de integración. Sin embargo, Microsoft no proporciona compatibilidad para la solución de problemas de complementos de terceros. Póngase en contacto con el proveedor de terceros para obtener soporte técnico.

Saber antes de empezar

La integración con Security Copilot funciona con una clave de API. Tendrá que realizar los pasos siguientes antes de usar el complemento.

Nota:

En función de la cuenta que tenga, es posible que tenga un límite de hasta 50 consultas al día. Depende de su licencia para CrowdSec.

  1. Obtenga la clave de API de CrowdSec. Si aún no tiene una, siga estos pasos:

    1. Vaya al sitio web de CrowdSec y cree su cuenta gratuita.

    2. En la configuración de su cuenta personal, vaya a Claves de API y seleccione + Nueva clave. Puede seguir los [pasos aquí] (https://doc.crowdsec.net/u/cti_api/integration_securitycopilot/)

  2. Inicie sesión en Microsoft Security Copilot.

  3. Para acceder a Administrar complementos, seleccione el botón Complemento en la barra de indicaciones.

  4. Junto a Inteligencia sobre amenazas de CrowdSec, seleccione Configurar.

  5. En el campo Valor, pegue la clave de API y, a continuación, seleccione Guardar.

Solicitudes de CTI de CrowdSec de ejemplo

Después de configurar el complemento CTI de CrowdSec, puede usarlo siguiendo uno de estos pasos:

  • Acceda directamente a la funcionalidad escribiendo LookupIpAddressSmokeDataset en la barra de mensajes; o
  • Solicitar Security Copilot usar crowdsec Threat Intelligence API en una dirección IP

En la tabla siguiente se resume cómo funciona esta funcionalidad.

Funcionalidad Qué hace
LookupIpAddressSmokeDataset

Avisos de ejemplo:
- ¿Qué puede decirme CrowdSec sobre esta dirección IP: [IP]
- Según CrowdSec cuáles son los principales países de destino por esta IP: [IP]
- Entradas: [IP]

Entrada requerida: dirección IP		 Busca en el conjunto de datos de CrowdSec una dirección IP para obtener más información sobre:

- Qué hace en términos de comportamientos observados, protocolos dirigidos y vulnerabilidades aprovechadas.

- En qué categorías pertenece, como proxy/VPN, nodo de salida de CDN y escáner de seguridad Legit.

- A qué se dirige, en términos de países o servicios.

- Referencias cruzadas existentes, como listas

- Lo virulenta que es.

- Durante cuánto tiempo lo han notificado los usuarios.

- Nivel de confianza de la información.

Solucionar problemas del complemento CTI

Se producen errores

Si encuentra errores, como No se pudo completar la solicitud o Error desconocido, asegúrese de que el complemento está activado. Si el problema persiste, cierre la sesión de Security Copilot y vuelva a iniciar sesión.

Consultas no invocan las funcionalidades correctas

Si los mensajes no invocan las capacidades correctas o los avisos invocan algún otro conjunto de funcionalidades, es posible que tenga complementos personalizados u otros complementos que tengan una funcionalidad similar a la del conjunto de funcionalidades que desea usar. Puede usar el nombre CrowdSec del producto en las solicitudes o escribir el nombre de una funcionalidad específica, como LookupIpAddressSmokeDataset en su lugar.

Enviar comentarios

Para proporcionar comentarios, póngase en contacto con CrowdSec a través de Discourse o con la acción de soporte técnico o comentarios directamente en la consola de CrowdSec.

Recursos adicionales

Complementos que no son de Microsoft para Microsoft Security Copilot

Administración de complementos en Microsoft Security Copilot