Поделиться через

AbuseIPDB

  • Статья

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

AbuseIPDB — это проект под управлением Marathon Studios Inc. Их миссия заключается в том, чтобы сделать Интернет более безопасным, предоставляя центральный репозиторий для веб-мастеров, системных администраторов и других заинтересованных сторон, чтобы сообщать об IP-адресах, которые были связаны с вредоносными действиями в Интернете. Подключаемый модуль AbuseIPDB можно использовать с Microsoft Security Copilot.

Примечание.

Эта статья содержит сведения о сторонних подключаемых модулях. Он предоставляется для выполнения сценариев интеграции. Однако корпорация Майкрософт не предоставляет поддержку по устранению неполадок для сторонних подключаемых модулей. Обратитесь за поддержкой к стороннему поставщику.

Перед началом работы

Интеграция с Security Copilot работает с ключом API. Перед использованием подключаемого модуля необходимо выполнить следующие действия.

  1. Получите ключ API AbuseIPDB. Если у вас его еще нет, выполните следующие действия.

    1. Перейдите на веб-сайт AbuseIPDB.
    2. Нажмите кнопку Зарегистрироваться , расположенную в правом верхнем углу страницы.
    3. Введите необходимые сведения, такие как адрес электронной почты, имя пользователя и пароль.
    4. При необходимости выполните все другие действия по проверке.
    5. После регистрации войдите в учетную запись AbuseIPDB.

  2. Доступ к ключу API.

    1. После входа перейдите на страницу Домашней страницы AbuseIPDB .
    2. Перейдите на вкладку API и выберите Создать ключ.
    3. После нажатия кнопки Создать ключ появится модальное значение. Вам будет предложено ввести имя; Вы можете выбрать любое имя для ключа. Например, введите "developer_key" и нажмите кнопку создать.
    4. Созданный ключ API должен быть заполнен на той же вкладке API. Эти же действия потребуются позже для соединителя.

  3. Войдите в Microsoft Security Copilot.

  4. Получите доступ к управлению подключаемыми модулями , нажав кнопку Источники на панели запросов.

  5. Рядом с полем AbuseIPDB выберите Настроить.

  6. В области Параметры подключаемого модуля AbuseIPDB в поле Значение вставьте ключ API и нажмите кнопку Сохранить.

Примеры запросов abuseIPDB

После настройки подключаемого модуля AbuseIPDB можно использовать следующие возможности с Security Copilot.

В следующей таблице приведены примеры, которые можно попробовать.

Возможность Input Примеры запросов
CheckIPAddress

Принимает IP-адрес (версии 4 или 6) и предоставляет сведения о запрашиваемом IP-адресе, включая версию, страну-источник, тип использования, поставщик услуг Интернета и домен. Содержатся оскорбительные отчеты.		 Обязательно:
- ipAddress

Необязательно:
- maxAgeInDays (по умолчанию 30, минимум 1, максимум 365)
- verbose		 — Расскажите мне об IP-адресе 118.25.6.39 с помощью базы данных AbuseIPDB

- Что говорит база данных abuseipdb об IP-адресе 180.126.219.127?

- Мне интересно, какие-либо записи abuseipdb для IP-адреса 180.126.219.127. Вы можете посмотреть, что для меня за последние 10 дней?
CheckNetworkBlock

Эта возможность принимает подсеть в нотации CIDR (версии 4 или 6) и возвращает сведения о запрашиваемой сети, включая ее маску сети, возможное число узлов и описание адресного пространства. Url-адрес закодирует сеть из-за косой черты в нотации CIDR.		 Обязательно:
- network

Необязательно:
- maxAgeInDays(по умолчанию 30, минимум 1, максимум 365)		 — Проверьте сетевой блок 1.1.1.1/24 для всех IP-адресов, сообщаемых за последние 10 дней.

- Я пытаюсь узнать, есть ли ip-адреса в сетевом блоке 1.1.1.1/24 за последние 10 дней. Вы можете помочь мне в этом?

- Не могли бы вы помочь мне проверка, если в сетевом блоке 1.1.1.1/24 за последние 10 дней были зарегистрированы КАКИЕ-либо IP-адреса?
ListBlockListedIpAddresses

Эта возможность возвращает список IP-адресов, наиболее сообщаемых пользователями AbuseIPDB с другими фильтрами или без них. Записи включают IP-адрес, оценку злоупотреблений и метку времени последнего отчета, отсортированные по оценке и метке времени.		 Необязательно:
- confidenceMinimum (по умолчанию 100, минимум 25, максимум 100)
- limit(по умолчанию 10 000, минимум 1, ограничения)
- plaintext
-onlyCountries
-exceptCountries
- ipVersion(по умолчанию 4,6 смешанных)
 — вывод списка заблокированных IP-адресов из AbuseIPDB

- В соответствии с AbuseIPDB, есть ли заблокированные IP-адреса из Китая?
ReportIPAddress

Создание отчетов об IP-адресах является основной функцией AbuseIPDB. Чтобы сообщить об IP-адресе, используйте этот навык. Он вернет обновленный адрес abuseConfidenceScore для указанного IP-адреса.		 Обязательно:
- ip
- categories (ограничения 30, эти nos. относятся к сопоставлению)

Необязательно:
- comment
- timestamp		 — Можно ли сообщить ОБ IP-адресе 180.126.219.126 в AbuseIPDB для категории 18 и добавить комментарий "Эта категория отделена от атак DDoS".?

— Отправьте IP-адрес 180.126.219.126 в AbuseIPDB, помечая его как категорию 1,2.

— Введите запись для IP-адреса 180.126.219.126 в AbuseIPDB, назначив его категории 18.

Предоставление отзывов

Чтобы оставить отзыв, обратитесь в AbuseIPDB.

См. также

Подключаемые модули сторонних Microsoft Security Copilot

Управление подключаемыми модулями в Microsoft Security Copilot