Inteligência contra Ameaças Cibernéticas da CrowdSec

Artigo
12/12/2024

O CrowdSec Threat Intelligence é uma pilha de segurança open source e colaborativa que lhe permite analisar comportamentos, responder a ataques e partilhar sinais em toda a comunidade. A Inteligência contra Ameaças da CrowdSec fornece informações sobre endereços IP e verificação ou identificação de endereços IP potencialmente agressivos. Pode utilizar o plug-in CrowdSec Cyber Threat Intelligence (CrowdSec CTI) com Microsoft Security Copilot.

Este plug-in permite que os utilizadores melhorem as investigações de IP com informações sobre ameaças provenientes do CrowdSec e obtenham informações como:

Reputação de IP e intervalo de IP organizados
Avaliação do nível de dados irrelevantes em segundo plano
Registos detalhados de comportamentos maliciosos
Técnicas MITRE associadas ao IP
Países visados pelo atacante
Classificação do atacante
Métricas de atividade histórica e agressividade (abrangendo as últimas 24h, 7 dias, 30 dias e no geral)

Observação

Este artigo contém informações sobre plug-ins de terceiros. Isto é fornecido para ajudar a concluir os cenários de integração. No entanto, a Microsoft não fornece suporte de resolução de problemas para plug-ins de terceiros. Contacte o fornecedor de terceiros para obter suporte.

Antes de começar

A integração com Security Copilot funciona com uma chave de API. Terá de efetuar os seguintes passos antes de utilizar o plug-in.

Observação

Dependendo da conta que você tiver, poderá haver um limite de até 50 consultas por dia. Isso depende da sua licença para a CrowdSec.

Obtenha sua chave de API da CrowdSec. Se você ainda não tiver uma, siga estas etapas:
1. Aceda ao site CrowdSec e crie a sua conta gratuita.
2. Nas configurações da sua conta pessoal, vá para Chaves de API e selecione + Nova Chave. Pode seguir os [passos aqui] (https://doc.crowdsec.net/u/cti_api/integration_securitycopilot/)
Inicie sessão no Microsoft Security Copilot.
Acesse Gerenciar Plug-ins selecionando o botão Plug-in na barra de solicitação.
Ao lado de Inteligência contra Ameaças CrowdSec, selecione Configurar.
No campo Valor, cole sua chave de API e selecione Salvar.

Exemplo de pedidos de CTI CrowdSec

Depois que o plug-in CrowdSec CTI estiver configurado, você poderá usá-lo seguindo uma das etapas a seguir:

Aceda diretamente à capacidade ao escrever LookupIpAddressSmokeDataset na barra de pedido; ou
Pedir Security Copilot para utilizar a API crowdSec Threat Intelligence num endereço IP

A tabela seguinte resume como esta capacidade funciona.

Recursos Função

LookupIpAddressSmokeDataset

Pedido(s) de Exemplo:
- O que o CrowdSec me pode dizer sobre este IP: [IP]
- De acordo com o CrowdSec, quais são os principais países visados por este IP: [IP]
- Entradas: [IP]

Entrada necessária: Endereço IP Pesquisa no conjunto de dados da CrowdSec um endereço IP para saber mais sobre ele:

- O que ele faz em termos de comportamentos observados, protocolos direcionados e vulnerabilidades exploradas.

- A quais categorias ele pertence, como proxy/VPN, nó de saída de CDN e scanner de segurança Legítimo.

- O que ele visa, em termos de países/regiões ou serviços.

- Referências cruzadas existentes, como listas

- Quão virulento ele é.

- Por quanto tempo foi relatado pelos usuários.

- O nível de confiança das informações.

Recursos	Função
`LookupIpAddressSmokeDataset` Pedido(s) de Exemplo: - O que o CrowdSec me pode dizer sobre este IP: [IP] - De acordo com o CrowdSec, quais são os principais países visados por este IP: [IP] - Entradas: [IP] Entrada necessária: Endereço IP	Pesquisa no conjunto de dados da CrowdSec um endereço IP para saber mais sobre ele: - O que ele faz em termos de comportamentos observados, protocolos direcionados e vulnerabilidades exploradas. - A quais categorias ele pertence, como proxy/VPN, nó de saída de CDN e scanner de segurança Legítimo. - O que ele visa, em termos de países/regiões ou serviços. - Referências cruzadas existentes, como listas - Quão virulento ele é. - Por quanto tempo foi relatado pelos usuários. - O nível de confiança das informações.

Solução de problemas com o plug-in CTI

Ocorrem erros

Se encontrar erros, como Não foi possível concluir o pedido ou Ocorreu um erro desconhecido, certifique-se de que o plug-in está ativado. Se o problema persistir, termine sessão no Security Copilot e, em seguida, volte a iniciar sessão.

Solicitações não estão a invocar as capacidades corretas

Se os pedidos não invocarem as capacidades corretas ou se os pedidos invocarem outro conjunto de capacidades, poderá ter plug-ins personalizados ou outros plug-ins com funcionalidades semelhantes ao conjunto de capacidade que pretende utilizar. Pode utilizar o nome CrowdSec do produto nos seus pedidos ou escrever o nome de uma capacidade específica, como LookupIpAddressSmokeDataset em alternativa.

Faça comentários

Para fornecer feedback, contacte o CrowdSec através do Discurso ou através da ação de suporte ou feedback diretamente na Consola CrowdSec.

Confira também

Plug-ins não Microsoft para Microsoft Security Copilot

Gerir plug-ins no Microsoft Security Copilot

Partilhar via