CrowdSec Cyber Threat Intelligence

Статья
12/12/2024

CrowdSec Threat Intelligence — это стек безопасности с открытым кодом, который позволяет анализировать поведение, реагировать на атаки и обмениваться сигналами в сообществе. CrowdSec Threat Intelligence предоставляет сведения об IP-адресах и проверке или идентификации потенциально агрессивных IP-адресов. Вы можете использовать подключаемый модуль CrowdSec Cyber Threat Intelligence (CrowdSec CTI) с Microsoft Security Copilot.

Этот подключаемый модуль позволяет пользователям расширить свои исследования IP-адресов с помощью аналитики угроз, полученной из CrowdSec, и получать аналитические сведения, такие как:

Проверенные репутации IP-адресов и диапазонов IP-адресов
Оценка уровня фонового шума
Подробные записи о вредоносном поведении
Методы MITRE, связанные с IP-адресом
Страны, на которые нападал злоумышленник
Классификация злоумышленника
Исторические метрики активности и агрессивности (охватывающие последние 24 ч, 7 дней, 30 дней и в целом)

Примечание.

Эта статья содержит сведения о сторонних подключаемых модулях. Он предоставляется для выполнения сценариев интеграции. Однако корпорация Майкрософт не предоставляет поддержку по устранению неполадок для сторонних подключаемых модулей. Обратитесь за поддержкой к стороннему поставщику.

Перед началом работы

Интеграция с Security Copilot работает с ключом API. Перед использованием подключаемого модуля необходимо выполнить следующие действия.

Примечание.

В зависимости от того, какая учетная запись у вас есть, у вас может быть ограничение до 50 запросов в день. Это зависит от лицензирования CrowdSec.

Получите ключ API CrowdSec. Если у вас его еще нет, сделайте следующее:
1. Перейдите на веб-сайт CrowdSec и создайте бесплатную учетную запись.
2. В параметрах личная учетная запись перейдите в раздел Ключи API и выберите + Создать ключ. Вы можете выполнить [шаги здесь] (https://doc.crowdsec.net/u/cti_api/integration_securitycopilot/)
Войдите в Microsoft Security Copilot.
Чтобы получить доступ к управлению подключаемыми модулями, нажмите кнопку Плагин на панели запросов.
Рядом с элементом CrowdSec Threat Intelligence выберите Настроить.
В поле Значение вставьте свой ключ API и выберите Сохранить.

Примеры запросов CTI CrowdSec

После настройки подключаемого модуля CTI CrowdSec его можно использовать, выполнив одно из следующих действий:

Получите доступ к возможности напрямую, введя LookupIpAddressSmokeDataset в строке запроса; или
Запрос Security Copilot на использование API Аналитики угроз CrowdSec для IP-адреса

В следующей таблице показано, как работает эта возможность.

Возможность Что делает

LookupIpAddressSmokeDataset

Примеры запросов:
- Что может рассказать мне CrowdSec об этом IP-адресе: [IP]
- В соответствии с CrowdSec, какие страны являются наиболее целевыми по этому IP: [IP]
— Входные данные: [IP- адрес]

Обязательные входные данные: IP-адрес Выполняет поиск в наборе данных CrowdSec по IP-адресу, чтобы узнать больше о:

— Что он делает с точки зрения наблюдаемого поведения, целевых протоколов и эксплуатируемых уязвимостей.

— к каким категориям он относится, например прокси-сервер или VPN, выходной узел CDN и средство проверки безопасности Legit.

- То, на что она нацелена с точки зрения стран или услуг.

— существующие перекрестные ссылки, например списки

- Как это вирулентно.

— В течение того, как долго пользователи сообщали об этом.

— уровень достоверности информации.

Возможность	Что делает
`LookupIpAddressSmokeDataset` Примеры запросов: - Что может рассказать мне CrowdSec об этом IP-адресе: [IP] - В соответствии с CrowdSec, какие страны являются наиболее целевыми по этому IP: [IP] — Входные данные: [IP- адрес] Обязательные входные данные: IP-адрес	Выполняет поиск в наборе данных CrowdSec по IP-адресу, чтобы узнать больше о: — Что он делает с точки зрения наблюдаемого поведения, целевых протоколов и эксплуатируемых уязвимостей. — к каким категориям он относится, например прокси-сервер или VPN, выходной узел CDN и средство проверки безопасности Legit. - То, на что она нацелена с точки зрения стран или услуг. — существующие перекрестные ссылки, например списки - Как это вирулентно. — В течение того, как долго пользователи сообщали об этом. — уровень достоверности информации.

Устранение неполадок с подключаемым модулем CTI

Возникают ошибки

Если возникают ошибки, например не удалось выполнить запрос или произошла неизвестная ошибка, убедитесь, что подключаемый модуль включен. Если проблема не исчезнет, выйдите из Security Copilot, а затем снова войдите в систему.

Запросы не вызывают правильные возможности

Если запросы не вызывают правильные возможности или запросы вызывают какой-либо другой набор возможностей, у вас могут быть пользовательские подключаемые модули или другие подключаемые модули с функциональностью, аналогичной набору возможностей, который вы хотите использовать. Вы можете либо использовать название CrowdSec продукта в запросах, либо ввести имя конкретной возможности, например LookupIpAddressSmokeDataset .

Предоставление отзывов

Чтобы оставить отзыв, обратитесь в CrowdSec через Дискурс или с помощью действия поддержки или обратной связи непосредственно в консоли CrowdSec.

См. также

Подключаемые модули сторонних Microsoft Security Copilot

Управление подключаемыми модулями в Microsoft Security Copilot

Поделиться через