Поделиться через

Красная канаэри

  • Статья

Red Canary предоставляет управляемое обнаружение и реагирование (MDR) и другие возможности безопасности для защиты конечных точек, сети, облачных рабочих нагрузок, удостоверений и приложений SaaS. Вы можете использовать подключаемый модуль Red Canary с Microsoft Security Copilot для повышения эффективности операций безопасности.

Примечание.

Эта статья содержит сведения о сторонних подключаемых модулях. Он предоставляется для выполнения сценариев интеграции. Однако корпорация Майкрософт не предоставляет поддержку по устранению неполадок для сторонних подключаемых модулей. Обратитесь за поддержкой к стороннему поставщику.

Перед началом работы

Для интеграции с Security Copilot требуется ключ API. Чтобы получить ключ API, вам должна быть назначена роль аналитика или Администратор в Red Canary. Перед использованием подключаемого модуля необходимо выполнить следующие действия.

  1. Получите ключ API Red Canary. Если у вас его еще нет, выполните следующие действия.

  2. Перейдите на портал Red Canary и выполните вход.

  3. В правом верхнем углу рядом с именем выберите Просмотреть профиль.

  4. В разделе Создание маркера проверки подлинности API выберите Создать.

    Снимок экрана: создание ключа API в Red Canary.

  5. Скопируйте и сохраните ключ API. Рекомендуется использовать безопасное хранилище паролей.

  6. Войдите в Microsoft Security Copilot.

  7. Перейдите в раздел Управление подключаемыми модулями, нажав кнопку Подключаемый модуль на панели запросов.

  8. Рядом с полем Красная канавка выберите переключатель, чтобы включить его.

    Снимок экрана: включение подключаемого модуля Red Canary.

  9. Укажите url-адрес Red Canary и токен API.

    Снимок экрана: где ввести URL-адрес Red Canary и ключ API.

  10. Сохраните изменения.

Примеры запросов Red Canary

После настройки подключаемого модуля Red Canary его можно использовать, введя Red Canary в строке запроса Security Copilot, а затем действие. На следующем снимку экрана показаны возможности Red Canary, которые можно использовать.

Снимок экрана: доступные навыки Red Canary.

В следующей таблице приведены несколько примеров, которые вы можете попробовать:

Конечная точка API Prompt
openapi/v3/endpoints Show me the 25 most recent endpoints in Red Canary
openapi/v3/endpoint_users Can you show me the most recent 10 endpoint users in Red Canary?
openapi/v3/detections Show me the 10 most recent threats in Red Canary
/openapi/v3/detections/marked_indicators_of_compromise Are there any IOCs in Red Canary?
/openapi/v3/customer/external_alerts Can you show me the external alerts in Red Canary?
/openapi/v3/customer/external_alerts/{id} Can you give me more details on Red Canary external alert 371119?
/openapi/v3/customer/system_activities Were their any detector updates in Red Canary?
/openapi/v3/customer/intel_reporting How many events were analyzed by Red Canary
/openapi/v3/detections/{id} Can you give me more details on Red Canary Threat ID 72?
/openapi/v3/endpoints/sensor_id/{sensor_id} Can you give me more details on Red Canary sensor ID 169428575?
/openapi/v3/endpoints/{id} Can you give me more info on endpoint ID 100000074413556 in Red Canary?
/openapi/v3/detections/{id}/timeline Can you show me the threat timeline entries for Threat ID 72?
/openapi/v3/detections/{id}/detectors Can you list the detectors in Threat 72?
/openapi/v3/detections/{id}/related_detections Can you show me related detections for Threat 72?
/openapi/v3/detections/{id}/marked_indicators_of_compromise Can you show me an IOCs in Threat 72?
/openapi/v3/endpoint_users/{id} Can you give me more information about Endpoint User ID: 100000305141114?
/openapi/v3/detections/{id}/events Can you show me all the events in Threat 72?
/openapi/v3/endpoint_users/{id}/system_activities Can you show me the activities for Endpoint User ID 100000305141114
/openapi/v3/endpoints/{id}/endpoint_users Can you show me the users from Endpoint ID: 100000060390802?
/openapi/v3/search/ip_addresses/{ip_address} can you search for ip address 172.16.16.16 in Red Canary?
/openapi/v3/search/endpoint_hostnames/{endpoint_hostname} Can you search in Red Canary for hostname vtw-ad10a49823a?
/openapi/v3/events Can you show me the most recent events investigated by Red Canary?

Часто задаваемые вопросы

Почему не удается выполнить запросы?

Если запросы не вызываются, убедитесь, что вы используете поддерживаемый запрос (см. предыдущую таблицу).

Почему возникают ошибки?

Если при использовании подключаемого модуля возникает ошибка, убедитесь, что в вашем регионе нет сбоев AWS (AWS US-East-2).

Предоставление отзывов

Чтобы оставить отзыв, обратитесь в Red Canary.

См. также

Подключаемые модули сторонних Microsoft Security CopilotУправление подключаемыми модулями в Microsoft Security Copilot