Поделиться через

Чистый Сигнал Разведчик

  • Статья

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Чистый Сигнал Разведчик Подключаемый модуль Pure Signal Scout команды Cymru позволяет Security Copilot клиентам собирать подробные сведения об угрозах для IP-адресов и доменов в режиме реального времени. Scout обеспечивает непревзойденную скорость, точность и видимость, помогая аналитикам безопасности принимать более быстрые и обоснованные решения. Мощные функции Scout гарантируют, что команды безопасности могут опережать развитие киберугроз. Он предоставляет аналитические сведения о вредоносных IP-действиях, сведениях о домене, открытых портах, обмене данными и т. д. Обогащенные ИИ данные из таких источников, как пассивные DNS и криптографические сертификаты, помогают группам безопасности обнаруживать и блокировать вредоносные IP-адреса, упрощая исследования и повышая время реагирования.

Перед началом работы

Интеграция с Security Copilot работает с ключом API, который необходимо получить перед использованием подключаемого модуля. Вы можете создать новую учетную запись пользователя или использовать имеющуюся учетную запись для получения ключа.

Создание учетной записи пользователя и получение ключа API

  1. Перейдите в пробную версию Scout Insight и заполните необходимые сведения.

  2. Проверьте адрес электронной почты и задайте пароль.

  3. Войдите на портал Pure Signal Scout .

  4. Перейдите на страницу Ключи API.

  5. Нажмите Создать.

  6. (Необязательно) Добавьте описание ключа.

  7. Выберите Создать ключ , чтобы создать ключ.

  8. Если кнопка Создать отключена, ваша организация достигла максимального количества ключей. В этом случае выполните следующие действия.

    1. Рядом со старым ключом выберите Отозвать.

    2. Выберите Создать ключ , чтобы начать создание нового ключа.

Использование существующей учетной записи и получение ключа API

  1. Войдите на портал Pure Signal Scout .

  2. Перейдите на страницу Ключи API.

  3. Нажмите Создать.

  4. (Необязательно) Добавьте описание ключа.

  5. Выберите Создать ключ , чтобы создать ключ.

  6. Если кнопка Создать отключена, ваша организация достигла максимального количества ключей. В этом случае выполните следующие действия.

    1. Рядом со старым ключом выберите Отозвать.

    2. Выберите Создать ключ , чтобы начать создание нового ключа.

Настройка подключаемого модуля Pure Signal Scout в Security Copilot

  1. Войдите в Microsoft Security Copilot.

  2. Перейдите в раздел Управление подключаемыми модулями, нажав кнопку Подключаемый модуль на панели запросов.

  3. Рядом с пунктом Pure Signal Scout Plugin (Подключаемый модуль Pure Signal Scout) выберите Настроить.

    Изображение подключаемого модуля Pure Signal Scout.

  4. В поле Значение вставьте ключ API Pure Signal Scout и нажмите кнопку Сохранить.

    Изображение параметров подключаемого модуля Pure Signal Scout.

Примеры запросов Pure Signal Scout

Возможность Описание Входные параметры Пример Запросы
ScoutFoundationAPI Принимает IP-адреса и включает массовый анализ, предоставляя аналитические сведения о том, содержит ли набор подозрительные, вредоносные или информационные IP-адреса. API Scout Foundation также предоставляет сведения о AS, коды стран и теги ключей, связанные с IP-адресами. Обязательный адрес: ips (не более 10 IP-адресов) - List down the malicious and suspicious IPs from these 8.8.8.8 175.155.2.48 185.220.101.101 192.42.116.175 188.165.200.97 185.220.101.88 178.20.55.182 104.182.36.17 with help of Pure Signal Scout plugin.

- Using the Pure Signal Scout plugin, find if the IP Address 185.220.100.240 is malicious ?

- List down key tag associated with IP Address 12wd85.220.100.240 using Scout plugin.
ScoutIPDetailsAPI API сведений об IP-адресе Scout предоставляет исчерпывающую информацию о конкретном IP-адресе, включая такие сведения, как удостоверение, журнал сетевых подключений, пассивные данные DNS, открытые порты, сертификаты X.509, отпечатки tls/SSL и записи WHOIS. Эта конечная точка позволяет пользователям получать полный отчет о поведении и связях IP-адреса с течением времени, указывая даты начала и окончания или выбирая диапазон дней. Обязательный: IP AddressOptional: start_date :

start_date Не может быть более 90 дней назад с текущей даты & 30 дней до даты окончания

end_date : не может быть в будущих днях: минимум: 1, максимум: 30
(Относительное смещение в днях от текущего времени в формате UTC. Он не может превышать максимальный диапазон в 30 дней.)

size:
по умолчанию: 100, минимум: 1, максимум: 1000
(Размер возвращаемого ответа в записях) sections: identity
comms pdns open_ports x509 отпечатков пальцев whois сводка proto_by_ip		 - Using Pure Signal Scout to find what open ports are available on this IP address 47.156.224.38?

- Are there any unusual communication patterns for this IP address 47.156.224.38? Check with the Pure Signal Scout plugin.

- What are the most frequent destinations for this IP address 47.156.224.38? Find using Scout plugin.

- Using Scout plugin find what are the connections between this IP address 47.156.224.38 and specific ASNs?

- Has this IP address 175.155.2.48 been seen in any honeypot data? Find using Scout.

- What are the potential threats associated with this IP address 175.155.2.48?

- What are the country origins of IPs communicating with this one IP 47.156.224.38?
ScoutSearchAPI API поиска Scout предоставляет подробные сведения о доменах и поддерживает расширенные поисковые запросы на языке запросов Scout. Он возвращает результаты, которые могут включать коды стран, сведения об автономной системе (AS), теги, данные WHOIS, открытые порты, пассивный DNS (PDNS), сведения о связи, сведения о службе, сертификаты X.509 и отпечатки пальцев. Этот API позволяет пользователям создавать запросы с использованием различных форматов, включая IP-адрес, доменные имена, веб-сайты или расширенные запросы с определенными селекторами (например, pdns.domain). Подробные сведения о доступных селекторах поиска см. в документации по Scout. Обязательный: запрос

Необязательно: start_date: не может быть более 90 дней назад с текущей даты & 30 дней до даты окончания
end_date: Не может быть будущим Дней: минимум 1, максимум: 30 (относительное смещение в днях от текущего времени в ФОРМАТЕ UTC. Он не может превышать максимальный диапазон в 30 дней.) размер: по умолчанию: 100, минимум: 1, максимум: 5000 (размер возвращаемого ответа в записях)		 - Using Pure Signal Scout to find what is the WHOIS information for this domain 10crypto.top ?

- Using the Pure Signal Scout plugin can you show me the historical DNS data for this domain akamai.com?

- What are the most recent WHOIS updates for this subtitleseeker.com? Use Scout plugin.

- Using Scout to find what is the reverse WHOIS information for this domain 10crypto.top?

- Use Scout to run the query pdns.domain="*ngrok.io" and give the certificate details about top 10 associated IPs.

- What organization is associated with subtitleseeker.com in the WHOIS data? Use Scout.

Устранение неполадок с подключаемым модулем Pure Signal Scout

Возникают ошибки

При возникновении таких ошибок, как "Не удалось выполнить запрос", выполните следующие действия для устранения неполадок:

  1. Запустите новый сеанс для обновления контекста и повторите попытку запроса в новом сеансе.

  2. Указание подробного запроса. Ознакомьтесь с лучшими рекомендациями по Security Copilot здесь и создание подробных подсказок в соответствии с навыками и возможностями подключаемого модуля Pure Signal Scout.

  3. Измените параметр Size. Если проблема не устранена, уменьшите параметр размера в запросе, чтобы управлять размером ответа, например "Использовать размер как 10". Это также можно изменить в API сведений об IP-адресе или API поиска Scout, чтобы свести к минимуму полезные данные ответа.

Если проблема не исчезнет, выйдите из Security Copilot, а затем снова войдите в систему и повторите попытку.

Запросы не вызывают правильные возможности

Если запросы не вызывают правильные возможности или, кажется, активируют другой подключаемый модуль, это может быть связано с другими подключаемыми модулями или пользовательскими подключаемыми модулями, которые предоставляют аналогичные возможности Pure Signal Scout. Например, если у вас есть несколько подключаемых модулей, которые предлагают аналитику угроз или сведения о домене, могут возникнуть конфликты. Чтобы определить приоритеты и, в частности, Pure Signal Scout, рассмотрите возможность отключения других пользовательских подключаемых модулей. Кроме того, вы можете либо использовать имя продукта Pure Signal Scout в запросах, либо указать определенный навык.

Предоставление отзывов

Чтобы предоставить отзыв, обратитесь к Pure Signal Scout.

См. также

Другие подключаемые модули для Microsoft Security Copilot

Управление подключаемыми модулями в Microsoft Security Copilot