Red Canary
Red Canary は、エンドポイント、ネットワーク、クラウド ワークロード、ID、SaaS アプリケーションを保護するためのマネージド検出と応答 (MDR) とその他のセキュリティ機能を提供します。 セキュリティ操作を強化するには、Microsoft Security Copilotで Red Canary プラグインを使用できます。
注:
この記事には、サード パーティ製プラグインに関する情報が含まれています。 これは、統合シナリオの完了に役立ちます。 ただし、Microsoft はサード パーティ製プラグインのトラブルシューティング サポートを提供していません。 サポートについては、サード パーティベンダーにお問い合わせください。
はじめに
Security Copilotとの統合には API キーが必要です。 API キーを取得するには、アナリスト ビューアーまたは管理ロールが割り当てられている必要があります。プラグインを使用する前に、次の手順を実行する必要があります。
Red Canary API キーを取得します。 まだお持ちでない場合は、次の手順に従います。
Red Canary ポータルに移動し、サインインします。
右上隅の名前の横にある [ プロファイルの表示] を選択します。
[ API 認証トークンの生成] で、[生成] を選択 します。
API キーをコピーして保存します。 セキュリティで保護されたパスワード コンテナーを使用することをお勧めします。
Microsoft Security Copilotにサインインします。
プロンプト バーから [プラグイン] ボタンを選択して、[プラグインの管理] にアクセスします。
[Red Canary]\(赤いカナリア\) の横にあるトグルを選択して有効にします。
Red Canary URL と API トークンを指定します。
変更内容を保存します。
赤いカナリアのプロンプトのサンプル
Red Canary プラグインを構成したら、Security Copilotプロンプト バーに「Red Canary」と入力し、アクションを続けて使用できます。 次のスクリーンショットは、使用できる Red Canary 機能を示しています。
次の表に、試してみることができるいくつかの例を示します:
| API エンドポイント | プロンプト |
|---|---|
openapi/v3/endpoints |
Show me the 25 most recent endpoints in Red Canary |
openapi/v3/endpoint_users |
Can you show me the most recent 10 endpoint users in Red Canary? |
openapi/v3/detections |
Show me the 10 most recent threats in Red Canary |
/openapi/v3/detections/marked_indicators_of_compromise |
Are there any IOCs in Red Canary? |
/openapi/v3/customer/external_alerts |
Can you show me the external alerts in Red Canary? |
/openapi/v3/customer/external_alerts/{id} |
Can you give me more details on Red Canary external alert 371119? |
/openapi/v3/customer/system_activities |
Were their any detector updates in Red Canary? |
/openapi/v3/customer/intel_reporting |
How many events were analyzed by Red Canary |
/openapi/v3/detections/{id} |
Can you give me more details on Red Canary Threat ID 72? |
/openapi/v3/endpoints/sensor_id/{sensor_id} |
Can you give me more details on Red Canary sensor ID 169428575? |
/openapi/v3/endpoints/{id} |
Can you give me more info on endpoint ID 100000074413556 in Red Canary? |
/openapi/v3/detections/{id}/timeline |
Can you show me the threat timeline entries for Threat ID 72? |
/openapi/v3/detections/{id}/detectors |
Can you list the detectors in Threat 72? |
/openapi/v3/detections/{id}/related_detections |
Can you show me related detections for Threat 72? |
/openapi/v3/detections/{id}/marked_indicators_of_compromise |
Can you show me an IOCs in Threat 72? |
/openapi/v3/endpoint_users/{id} |
Can you give me more information about Endpoint User ID: 100000305141114? |
/openapi/v3/detections/{id}/events |
Can you show me all the events in Threat 72? |
/openapi/v3/endpoint_users/{id}/system_activities |
Can you show me the activities for Endpoint User ID 100000305141114 |
/openapi/v3/endpoints/{id}/endpoint_users |
Can you show me the users from Endpoint ID: 100000060390802? |
/openapi/v3/search/ip_addresses/{ip_address} |
can you search for ip address 172.16.16.16 in Red Canary? |
/openapi/v3/search/endpoint_hostnames/{endpoint_hostname} |
Can you search in Red Canary for hostname vtw-ad10a49823a? |
/openapi/v3/events |
Can you show me the most recent events investigated by Red Canary? |
よく寄せられる質問 (FAQ)
プロンプトが失敗する理由
プロンプトの呼び出しに失敗した場合は、サポートされているプロンプトを使用していることを確認します (前の表を参照)。
エラーが発生する理由
プラグインの使用中にエラーが発生した場合は、リージョンに AWS の停止がないことを確認してください (AWS US-East-2)。
フィードバックの提供
フィードバックを提供するには、 Red Canary にお問い合わせください。
関連項目
Microsoft Security Copilotの Microsoft 以外のプラグインMicrosoft Security Copilotでのプラグインの管理