CrowdSec サイバー脅威インテリジェンス

[アーティクル]
12/12/2024

CrowdSec Threat Intelligence は、行動の分析、攻撃への対応、コミュニティ全体でのシグナルの共有を可能にするオープンソースの共同セキュリティスタックです。 CrowdSec 脅威インテリジェンスは、IP アドレスに関する情報と、攻撃的な可能性のある IP アドレスの検証または識別情報を提供します。 Microsoft Security Copilotでは、CrowdSec Cyber Threat Intelligence (CrowdSec CTI) プラグインを使用できます。

このプラグインを使用すると、ユーザーは CrowdSec から入手した脅威インテリジェンスを使用して IP 調査を強化し、次のような分析情報を取得できます。

厳選された IP と IP 範囲の評判
バックグラウンドノイズレベルの評価
悪意のある動作の詳細なレコード
IP に関連付けられている MITRE 手法
攻撃者の標的となる国
攻撃者の分類
履歴アクティビティと積極的なメトリック (過去 24 時間、7 日間、30 日間、および全体をカバー)

注:

この記事には、サードパーティ製プラグインに関する情報が含まれています。これは、統合シナリオの完了に役立ちます。ただし、Microsoft はサードパーティ製プラグインのトラブルシューティングサポートを提供していません。サポートについては、サードパーティベンダーにお問い合わせください。

はじめに

Security Copilotとの統合は API キーと連携します。プラグインを使用する前に、次の手順を実行する必要があります。

注:

お持ちのアカウントによっては、1 日あたり最大 50 個のクエリに制限される場合があります。これは、CrowdSec のライセンスによって異なります。

CrowdSec API キーを取得します。まだお持ちでない場合は、次の手順に従います。
1. CrowdSec Web サイトに移動し、無料アカウントを作成します。
2. 個人用アカウントの設定で、[API キー] に移動し、[+ 新しいキー] を選択します。 [手順はこちら] (https://doc.crowdsec.net/u/cti_api/integration_securitycopilot/) に従うことができます
Microsoft Security Copilotにサインインします。
プロンプトバーから [プラグイン] ボタンを選択して、[プラグインの管理] にアクセスします。
[CrowdSec 脅威インテリジェンス] の横にある [セットアップ] を選択します。
[値] フィールドに API キーを貼り付け、[保存] を選択します。

CrowdSec CTI プロンプトのサンプル

CrowdSec CTI プラグインを構成したら、次のいずれかの手順を実行して使用できます。

プロンプトバーに「 LookupIpAddressSmokeDataset 」と入力して、機能に直接アクセスします。
IP アドレスで CrowdSec Threat Intelligence API を使用するように求めるSecurity Copilot

次の表は、この機能のしくみをまとめたものです。

機能機能

LookupIpAddressSmokeDataset

プロンプトの例:
- CrowdSec がこの IP について教えてくれるもの: [IP]
- CrowdSec によると、この IP の上位ターゲット国は何ですか: [IP]
- 入力: [IP]

入力必須: IP アドレス CloudSec のデータセットで IP アドレスを検索し、詳細を確認します。

- 観察された動作、対象となるプロトコル、および悪用された脆弱性の観点から行う内容。

- プロキシ/VPN、CDN 終了ノード、Legit セキュリティスキャナーなど、それが属するカテゴリ。

- 国やサービスの観点から見た対象。

- リストなどの既存の相互参照

- 毒性の強さ。

- ユーザーによって報告された期間。

- 情報の信頼度。

機能	機能
`LookupIpAddressSmokeDataset` プロンプトの例: - CrowdSec がこの IP について教えてくれるもの: [IP] - CrowdSec によると、この IP の上位ターゲット国は何ですか: [IP] - 入力: [IP] 入力必須: IP アドレス	CloudSec のデータセットで IP アドレスを検索し、詳細を確認します。 - 観察された動作、対象となるプロトコル、および悪用された脆弱性の観点から行う内容。 - プロキシ/VPN、CDN 終了ノード、Legit セキュリティスキャナーなど、それが属するカテゴリ。 - 国やサービスの観点から見た対象。 - リストなどの既存の相互参照 - 毒性の強さ。 - ユーザーによって報告された期間。 - 情報の信頼度。

CTI プラグインのトラブルシューティング

エラーの発生

要求を完了できませんでした、不明なエラーが発生しました、などのエラーが発生した場合は、プラグインがオンになっていることを確認してください。問題が解決しない場合は、Security Copilotからサインアウトしてから、もう一度サインインします。

プロンプトが正しい機能を呼び出していない

プロンプトが正しい機能を呼び出していない場合、またはプロンプトが他の機能セットを呼び出している場合は、使用する機能セットと同様の機能を持つカスタムプラグインまたは他のプラグインがある可能性があります。プロンプトで製品名 CrowdSec を使用するか、代わりに LookupIpAddressSmokeDataset などの特定の機能の名前を入力できます。

フィードバックの提供

フィードバックを提供するには、談話を通じて CrowdSec に問い合わせるか、 CrowdSec コンソールで直接サポートまたはフィードバックアクションを使用してください。

次の方法で共有