Partilhar via

Canário Vermelho

  • Artigo

O Red Canary fornece deteção e resposta geridas (MDR) e outras capacidades de segurança para proteger pontos finais, rede, cargas de trabalho na cloud, identidades e aplicações SaaS. Pode utilizar o plug-in Red Canary com Microsoft Security Copilot para melhorar as operações de segurança.

Observação

Este artigo contém informações sobre plug-ins de terceiros. Isto é fornecido para ajudar a concluir os cenários de integração. No entanto, a Microsoft não fornece suporte de resolução de problemas para plug-ins de terceiros. Contacte o fornecedor de terceiros para obter suporte.

Antes de começar

A integração com Security Copilot requer uma Chave de API. Tem de ter a função Visualizador de Analistas ou Administração atribuída no Red Canary para obter a chave de API e terá de efetuar os seguintes passos antes de utilizar o plug-in.

  1. Obtenha a chave da API Red Canary. Se você ainda não tiver uma, siga estas etapas:

  2. Aceda ao portal do Red Canary e inicie sessão.

  3. No canto superior direito, junto ao seu nome, selecione Ver perfil.

  4. Em Gerar Token de Autenticação de API, selecione Gerar.

    Captura de ecrã a mostrar onde cria uma chave de API no Red Canary.

  5. Copie e guarde a chave de API. Recomendamos que utilize um cofre de palavras-passe seguro.

  6. Inicie sessão no Microsoft Security Copilot.

  7. Acesse Gerenciar plug-ins selecionando o botão Plug-in na barra de prompts.

  8. Junto a Canário Vermelho, selecione o botão de alternar para ativá-lo.

    Captura de ecrã a mostrar como ativar o plug-in Do Canário Vermelho.

  9. Indique o URL do Red Canary e o Token de API.

    Captura de ecrã a mostrar onde introduzir o URL e a chave de API do Canário Vermelho.

  10. Salve suas alterações.

Pedidos de Exemplo de Canário Vermelho

Depois de configurar o plug-in Red Canary, pode utilizá-lo ao escrever Red Canary na barra de aviso Security Copilot, seguido de uma ação. A captura de ecrã seguinte mostra as capacidades do Red Canary que pode utilizar.

Captura de ecrã a mostrar as competências disponíveis do Red Canary.

A tabela a seguir fornece vários exemplos que você pode experimentar:

Ponto Final da API Prompt
openapi/v3/endpoints Show me the 25 most recent endpoints in Red Canary
openapi/v3/endpoint_users Can you show me the most recent 10 endpoint users in Red Canary?
openapi/v3/detections Show me the 10 most recent threats in Red Canary
/openapi/v3/detections/marked_indicators_of_compromise Are there any IOCs in Red Canary?
/openapi/v3/customer/external_alerts Can you show me the external alerts in Red Canary?
/openapi/v3/customer/external_alerts/{id} Can you give me more details on Red Canary external alert 371119?
/openapi/v3/customer/system_activities Were their any detector updates in Red Canary?
/openapi/v3/customer/intel_reporting How many events were analyzed by Red Canary
/openapi/v3/detections/{id} Can you give me more details on Red Canary Threat ID 72?
/openapi/v3/endpoints/sensor_id/{sensor_id} Can you give me more details on Red Canary sensor ID 169428575?
/openapi/v3/endpoints/{id} Can you give me more info on endpoint ID 100000074413556 in Red Canary?
/openapi/v3/detections/{id}/timeline Can you show me the threat timeline entries for Threat ID 72?
/openapi/v3/detections/{id}/detectors Can you list the detectors in Threat 72?
/openapi/v3/detections/{id}/related_detections Can you show me related detections for Threat 72?
/openapi/v3/detections/{id}/marked_indicators_of_compromise Can you show me an IOCs in Threat 72?
/openapi/v3/endpoint_users/{id} Can you give me more information about Endpoint User ID: 100000305141114?
/openapi/v3/detections/{id}/events Can you show me all the events in Threat 72?
/openapi/v3/endpoint_users/{id}/system_activities Can you show me the activities for Endpoint User ID 100000305141114
/openapi/v3/endpoints/{id}/endpoint_users Can you show me the users from Endpoint ID: 100000060390802?
/openapi/v3/search/ip_addresses/{ip_address} can you search for ip address 172.16.16.16 in Red Canary?
/openapi/v3/search/endpoint_hostnames/{endpoint_hostname} Can you search in Red Canary for hostname vtw-ad10a49823a?
/openapi/v3/events Can you show me the most recent events investigated by Red Canary?

Perguntas Mais Frequentes (FAQ)

Por que motivo os pedidos estão a falhar?

Se os pedidos não forem invocados, certifique-se de que está a utilizar um pedido suportado (consulte a tabela anterior).

Por que motivo estou a receber erros?

Se receber um erro ao utilizar o plug-in, certifique-se de que não existem interrupções do AWS na sua região (AWS US-East-2).

Faça comentários

Para fornecer comentários, contacte o Red Canary.

Confira também

Plug-ins não Microsoft para Microsoft Security CopilotGerir plug-ins no Microsoft Security Copilot