Cyberveille Crowdsec
CrowdSec Threat Intelligence est une pile de sécurité collaborative open source qui vous permet d’analyser les comportements, de répondre aux attaques et de partager des signaux au sein de la communauté. Cyberveille CrowdSec fournit des informations sur les adresses IP et la vérification ou l’identification des adresses IP potentiellement agressives. Vous pouvez utiliser le plug-in CrowdSec Cyber Threat Intelligence (CrowdSec CTI) avec Microsoft Security Copilot.
Ce plug-in permet aux utilisateurs d’améliorer leurs investigations IP avec le renseignement sur les menaces provenant de CrowdSec et d’obtenir des insights tels que :
- Réputations d’adresses IP et de plages d’adresses IP organisées
- Évaluation du niveau de bruit de fond
- Enregistrements détaillés des comportements malveillants
- Techniques MITRE associées à l’adresse IP
- Pays ciblés par l’attaquant
- Classification de l’attaquant
- Métriques historiques d’activité et d’agressivité (couvrant les dernières 24 heures, 7 jours, 30 jours et l’ensemble)
Remarque
Cet article contient des informations sur les plug-ins tiers. Il est fourni pour faciliter la réalisation des scénarios d’intégration. Toutefois, Microsoft ne fournit pas de support de résolution des problèmes pour les plug-ins tiers. Contactez le fournisseur tiers pour obtenir de l’aide.
Bon à savoir avant de commencer
L’intégration à Security Copilot fonctionne avec une clé API. Vous devez effectuer les étapes suivantes avant d’utiliser le plug-in.
Remarque
Selon le compte dont vous disposez, vous pouvez avoir une limite de 50 requêtes par jour. Cela dépend de votre licence pour CrowdSec.
Obtenez votre clé API CrowdSec. Si vous n’en avez pas encore, procédez comme suit :
Accédez au site web CrowdSec et créez votre compte gratuit.
Dans les paramètres de votre compte personnel, accédez à Clés API et sélectionnez + Nouvelle clé. Vous pouvez suivre les [étapes ici] (https://doc.crowdsec.net/u/cti_api/integration_securitycopilot/)
Connectez-vous à Microsoft Security Copilot.
Accédez à Gérer les plug-ins en sélectionnant le bouton Plug-in dans la barre de prompt.
En regard de Cyberveille CrowdSec, sélectionnez Configurer.
Dans le champ Valeur, collez votre clé API, puis sélectionnez Enregistrer.
Exemples d’invites CTI CrowdSec
Une fois le plug-in CTI CrowdSec est configuré, vous pouvez l’utiliser en effectuant l’une des étapes suivantes :
- Accédez directement à la fonctionnalité en tapant
LookupIpAddressSmokeDataset
dans la barre d’invite ; ou - Inviter Security Copilot à utiliser l’API CrowdSec Threat Intelligence sur une adresse IP
Le tableau suivant récapitule le fonctionnement de cette fonctionnalité.
Fonctionnalité | Ce qu'il fait |
---|---|
LookupIpAddressSmokeDataset Exemple d’invite(s) : - Que peut me dire CrowdSec sur cette adresse IP : [IP] - Selon CrowdSec, quels sont les principaux pays ciblés par cette adresse IP : [IP] - Entrées : [IP] Entrée requise : adresse IP |
Recherche une adresse IP dans le jeu de données de CrowdSec pour en savoir plus sur : – Ce qu’il fait en termes de comportements observés, de protocoles ciblés et de vulnérabilités exploitées. – Dans les catégories auxquelles il appartient, telles que proxy/VPN, nœud de sortie CDN et scanneur de sécurité Legit. – Ce qu’il cible, en termes de pays ou de services. – Références croisées existantes, telles que des listes – Sa virulence. – Pendant combien de temps ça a été signalé par les utilisateurs. – Niveau de confiance des informations. |
Résoudre les problèmes liés au plug-in CTI
Des erreurs se produisent
Si vous rencontrez des erreurs, telles que Impossible de terminer votre demande ou Une erreur inconnue s’est produite, vérifiez que le plug-in est activé. Si le problème persiste, déconnectez-vous de Security Copilot, puis reconnectez-vous.
Requêtes n’appellent pas les fonctionnalités appropriées
Si les invites n’appellent pas les fonctionnalités appropriées, ou si les invites appellent un autre ensemble de fonctionnalités, vous pouvez avoir des plug-ins personnalisés ou d’autres plug-ins qui ont des fonctionnalités similaires à celles que vous souhaitez utiliser. Vous pouvez utiliser le nom CrowdSec
du produit dans vos invites ou taper le nom d’une fonctionnalité spécifique, comme LookupIpAddressSmokeDataset
à la place.
Envoyer des commentaires
Pour envoyer des commentaires, contactez CrowdSec par le biais de Discourse ou à l’aide de l’action de support ou de commentaires directement dans votre console CrowdSec.