Compartir a través de

Canario rojo

  • Artículo

Red Canary proporciona detección y respuesta administradas (MDR) y otras funcionalidades de seguridad para proteger los puntos de conexión, la red, las cargas de trabajo en la nube, las identidades y las aplicaciones SaaS. Puede usar el complemento Red Canary con Microsoft Security Copilot para mejorar las operaciones de seguridad.

Nota:

Este artículo contiene información sobre complementos de terceros. Esto se proporciona para ayudar a completar escenarios de integración. Sin embargo, Microsoft no proporciona compatibilidad para la solución de problemas de complementos de terceros. Póngase en contacto con el proveedor de terceros para obtener soporte técnico.

Saber antes de empezar

La integración con Security Copilot requiere una clave de API. Debe tener asignado el rol Visor de analistas o Administración en Red Canary para obtener la clave de API y debe realizar los pasos siguientes antes de usar el complemento.

  1. Obtenga la clave de Red Canary API. Si aún no tiene una, siga estos pasos:

  2. Vaya al portal de Red Canary e inicie sesión.

  3. En la esquina superior derecha, junto a su nombre, seleccione Ver perfil.

  4. En Generar token de autenticación de API, seleccione Generar.

    Captura de pantalla que muestra dónde se crea una clave de API en Red Canary.

  5. Copie y guarde la clave de API. Se recomienda usar un almacén de contraseñas seguro.

  6. Inicie sesión en Microsoft Security Copilot.

  7. Para acceder a Administrar complementos, seleccione el botón Complemento en la barra de indicaciones.

  8. Junto a Red Canary, seleccione el botón de alternancia para habilitarlo.

    Captura de pantalla que muestra cómo activar el complemento Red Canary.

  9. Proporcione la dirección URL de Red Canary y el token de API.

    Captura de pantalla que muestra dónde escribir la dirección URL de Red Canary y la clave de API.

  10. Guarde los cambios.

Avisos de canarios rojos de ejemplo

Una vez configurado el complemento Red Canary, puede usarlo escribiendo Red Canary en la barra de mensajes de Security Copilot, seguida de una acción. En la captura de pantalla siguiente se muestran las funcionalidades de Red Canary que puede usar.

Captura de pantalla que muestra las aptitudes de Red Canary disponibles.

En la tabla siguiente se proporcionan varios ejemplos que puede probar:

Punto de conexión de API Prompt
openapi/v3/endpoints Show me the 25 most recent endpoints in Red Canary
openapi/v3/endpoint_users Can you show me the most recent 10 endpoint users in Red Canary?
openapi/v3/detections Show me the 10 most recent threats in Red Canary
/openapi/v3/detections/marked_indicators_of_compromise Are there any IOCs in Red Canary?
/openapi/v3/customer/external_alerts Can you show me the external alerts in Red Canary?
/openapi/v3/customer/external_alerts/{id} Can you give me more details on Red Canary external alert 371119?
/openapi/v3/customer/system_activities Were their any detector updates in Red Canary?
/openapi/v3/customer/intel_reporting How many events were analyzed by Red Canary
/openapi/v3/detections/{id} Can you give me more details on Red Canary Threat ID 72?
/openapi/v3/endpoints/sensor_id/{sensor_id} Can you give me more details on Red Canary sensor ID 169428575?
/openapi/v3/endpoints/{id} Can you give me more info on endpoint ID 100000074413556 in Red Canary?
/openapi/v3/detections/{id}/timeline Can you show me the threat timeline entries for Threat ID 72?
/openapi/v3/detections/{id}/detectors Can you list the detectors in Threat 72?
/openapi/v3/detections/{id}/related_detections Can you show me related detections for Threat 72?
/openapi/v3/detections/{id}/marked_indicators_of_compromise Can you show me an IOCs in Threat 72?
/openapi/v3/endpoint_users/{id} Can you give me more information about Endpoint User ID: 100000305141114?
/openapi/v3/detections/{id}/events Can you show me all the events in Threat 72?
/openapi/v3/endpoint_users/{id}/system_activities Can you show me the activities for Endpoint User ID 100000305141114
/openapi/v3/endpoints/{id}/endpoint_users Can you show me the users from Endpoint ID: 100000060390802?
/openapi/v3/search/ip_addresses/{ip_address} can you search for ip address 172.16.16.16 in Red Canary?
/openapi/v3/search/endpoint_hostnames/{endpoint_hostname} Can you search in Red Canary for hostname vtw-ad10a49823a?
/openapi/v3/events Can you show me the most recent events investigated by Red Canary?

Preguntas más frecuentes (P+F)

¿Por qué se produce un error en las solicitudes?

Si no se pueden invocar mensajes, asegúrese de que usa un símbolo del sistema admitido (consulte la tabla anterior).

¿Por qué recibo errores?

Si recibe un error al usar el complemento, asegúrese de que no haya interrupciones de AWS en su región (AWS US-East-2).

Enviar comentarios

Para proporcionar comentarios, póngase en contacto con Red Canary.

Recursos adicionales

Complementos que no son de Microsoft para Microsoft Security CopilotAdministrar complementos en Microsoft Security Copilot