Поделиться через

GreyNoise Enterprise и GreyNoise Community

  • Статья

GreyNoise Enterprise — это платформа кибербезопасности, которая собирает и анализирует данные сканирования и атак в Интернете, чтобы получить ценные сведения о потенциальных угрозах. Интеграция GreyNoise позволяет использовать базу данных GreyNoise для повышения уровня безопасности организации, выявления новых угроз и определения приоритетов в реагировании. Вы можете использовать подключаемый модуль GreyNoise Enterprise или GreyNoise Community с Security Copilot, чтобы получить сведения об IP-адресах, действиях сканирования и поведении злоумышленников.

Примечание.

Эта статья содержит сведения о сторонних подключаемых модулях. Он предоставляется для выполнения сценариев интеграции. Однако корпорация Майкрософт не предоставляет поддержку по устранению неполадок для сторонних подключаемых модулей. Обратитесь за поддержкой к стороннему поставщику.

Перед началом работы

Интеграция с Security Copilot работает с учетной записью GreyNoise и ключом API. В зависимости от выбранного плана у вас может быть ограничение на количество запросов, которые можно выполнить с помощью ключа API. Перед использованием подключаемого модуля необходимо выполнить следующие действия.

  1. Получите учетные данные GreyNoise и ключ API. Если у вас их еще нет, выполните следующие действия.

    1. Перейдите на веб-сайт GreyNoise и создайте свою учетную запись.

      Вы можете начать с бесплатной учетной записи, чтобы получить ключ API сообщества, или приобрести подписку, чтобы получить корпоративный ключ API.

    2. В меню Визуализатор GreyNoise в правом верхнем углу выберите свое имя, а затем выберите Мой ключ API.

    3. Скопируйте ключ API.

  2. Войдите в Microsoft Security Copilot.

  3. Чтобы перейти в раздел Управление подключаемыми модулями, нажмите кнопку Подключаемый модуль на панели запросов.

  4. Выполните одно из следующих действий:

    • Если вы приобрели корпоративную подписку GreyNoise, включите подключаемый модуль GreyNoise Enterprise .
    • Если вы используете бесплатную учетную запись GreyNoise, включите подключаемый модуль сообщества GreyNoise .

  5. Щелкните значок Параметры и в поле Значение вставьте ключ API, а затем нажмите кнопку Сохранить.

Примеры запросов GreyNoise

После настройки подключаемого модуля GreyNoise его можно использовать, введя имя возможности в строке запроса в Security Copilot. Например, можно ввести .LookupIpAddressNoise

В следующей таблице перечислены возможности и их действия.

Возможность Примеры запросов Что делает
Lookup IP Address Noise
(работает с GreyNoise Enterprise или GreyNoise Community)

Обязательные входные данные: IP-адрес (версии 4 или 6)		 - Tell me about Ip address "118.25.6.39" using the GreyNoise database

- Use the GreyNoise database to provide info on "118.25.6.39"

- What does the GreyNoise database say about the IP address 180.126.219.127?

- I'm curious about any GreyNoise records for the IP address 180.126.219.127. Can you look that up for me?

- Can you provide me with information on any GreyNoise reports for the IP address 180.126.219.127?

- I'd like to know if there are any GreyNoise entries for the IP address 180.126.219.127. Can you check that for me?

- Could you give me an overview of the GreyNoise record for the IP address 180.126.219.127?		 Извлекает сведения о шуме о предоставленном IP-адресе. Возвращает следующие типы сведений:

— классификация IP-адресов, например вредоносных

— Шум, например, связан ли IP-адрес с какой-то формой вредоносной активности.

— Riot, например, является ли IP-адрес частью известной неопасной службы или инфраструктуры.

— имя, связанное с IP-адресом.

— Последний просмотр (когда IP-адрес был последним активным)

— Ссылка: ссылка для визуализации действия IP-адреса в GreyNoise

— сообщение об успешном выполнении или ошибке в зависимости от того, был ли поиск успешным.
Lookup IP Context
(требуется GreyNoise Enterprise)

Обязательные входные данные: IP-адрес (версии 4 или 6)		 Find the GreyNoise IP Context for IP 183.221.243.13 Предоставляет контекст об IP-адресах, которые GreyNoise наблюдал при сканировании Интернета.

Возвращает полный набор сведений, включая классификацию (вредоносные, неопасные и т. д.), метку времени, связанные субъекты, теги и метаданные.
Lookup IP Quick
(требуется GreyNoise Enterprise)

Обязательные входные данные: IP-адрес (версии 4 или 6)		 Use GreyNoise to do a quick check of IP 183.221.243.13 Предоставляет быстрый способ проверка, является ли IP-адрес "шумным" или нет.

Возвращает логическое значение, указывающее, присутствует ли IP-адрес в наборе данных.
Lookup Multiple IPs
(требуется GreyNoise Enterprise)

Обязательные входные данные: IP-адрес (версии 4 или 6)		 Lookup Multiple IPs using GreyNoise 183.221.243.13 and 8.8.8.8 Предоставляет быстрый способ проверка сведения о нескольких IP-адресах.

Возвращает массив контекстных сведений для каждого IP-адреса, аналогичный конечной точке LookupIpContext.
Lookup IP Riot
(требуется GreyNoise Enterprise)

Обязательные входные данные: IP-адрес (версии 4 или 6)		 Use GreyNoise to check the Riot information on IP 183.221.243.13 Содержит сведения об IP-адресах, часто добавляемых в списки разрешений.

Возвращает логическое значение, указывающее, является ли IP-адрес частью набора данных RIOT, а также некоторые основные сведения о контексте, если это так.
Lookup GNQL
(требуется GreyNoise Enterprise)

Обязательные входные данные: запрос GNQL		 Use GreyNoise to check the GNQL information on tags:"RDP Scanner" Позволяет использовать язык запросов GreyNoise (GNQL) для выполнения сложных запросов к набору данных GreyNoise.

Возвращает массив результатов, соответствующих запросу GNQL.
Look up CVE
(требуется GreyNoise Enterprise)

Обязательные входные данные: CVE		 Use the GreyNoise Query Language (GNQL) stats to query against the GreyNoise dataset for CVE information Позволяет использовать статистику языка запросов GreyNoise (GNQL) для запроса к набору данных GreyNoise для получения сведений о CVE.

Возвращает массив результатов, соответствующих запросу GNQL CVE.

Устранение неполадок с подключаемым модулем GreyNoise

Возникают ошибки

Если возникают ошибки, например не удалось выполнить запрос или произошла неизвестная ошибка, убедитесь, что подключаемый модуль включен. Если проблема не исчезнет, выйдите из Security Copilot, а затем снова войдите в систему.

Запросы не вызывают правильные возможности

Если запросы не вызывают правильные возможности или запросы вызывают какой-либо другой набор возможностей, у вас могут быть пользовательские подключаемые модули или другие подключаемые модули с функциональностью, аналогичной набору возможностей, который вы хотите использовать. Чтобы определить приоритеты и нацелить GreyNoise, попробуйте отключить другие настраиваемые подключаемые модули.

Предоставление отзывов

Чтобы оставить отзыв, обратитесь в GreyNoise.

См. также

Подключаемые модули сторонних Microsoft Security Copilot

Управление подключаемыми модулями в Microsoft Security Copilot