通过

纯信号 Scout

  • 项目

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

纯信号 ScoutCymru 团队的 Pure Signal Scout 插件使Security Copilot客户能够实时收集有关 IP 地址和域的详细威胁情报。 Scout 提供无与伦比的速度、准确性和可见性,帮助安全分析师更快、更明智地做出决策。 Scout 的强大功能可确保安全团队能够领先于不断变化的网络威胁。 它提供对恶意 IP 活动、域信息、开放端口、通信等的见解。 借助来自被动 DNS 和加密证书等源的 AI 扩充数据,它可帮助安全团队检测和阻止有害 IP,简化调查并缩短响应时间。

在开始之前了解

与 Security Copilot 集成适用于使用插件之前必须检索的 API 密钥。 可以创建新的用户帐户或使用现有帐户获取密钥。

创建新的用户帐户并获取 API 密钥

  1. 转到 Scout Insight 试用版 并填写所需的详细信息。

  2. 验证电子邮件并设置密码。

  3. 登录到 Pure Signal Scout 门户。

  4. 转到 “API 密钥”页

  5. 选择“创建”。

  6. (可选) 为密钥添加说明。

  7. 选择“ 创建密钥” 以生成密钥。

  8. 如果禁用了“ 创建 ”按钮,则表示组织已达到最大密钥数。 在这种情况下,请执行以下步骤:

    1. 在旧密钥旁边,选择“ 撤销”。

    2. 选择“ 创建密钥 ”开始生成新密钥。

使用现有帐户并获取 API 密钥

  1. 登录到 Pure Signal Scout 门户。

  2. 转到“API 密钥”页

  3. 选择“创建”。

  4. (可选) 为密钥添加说明。

  5. 选择“ 创建密钥” 以生成密钥。

  6. 如果禁用了“ 创建 ”按钮,则表示组织已达到最大密钥数。 在这种情况下,请执行以下步骤:

    1. 在旧密钥旁边,选择“ 撤销”。

    2. 选择“ 创建密钥 ”开始生成新密钥。

在 Security Copilot 中配置 Pure Signal Scout 插件

  1. 登录到 Microsoft Security Copilot

  2. 通过从提示栏中选择“插件”按钮来访问“管理插件”。

  3. “纯信号 Scout 插件”旁边,选择“ 设置”。

    Pure Signal Scout 插件的图像。

  4. “值 ”字段中,粘贴纯信号 Scout API 密钥,然后选择“ 保存”。

    Pure Signal Scout 插件设置的图像。

纯信号 Scout 提示示例

功能 说明 输入参数 示例提示
ScoutFoundationAPI 接受 IP 地址并启用批量分析,深入了解集是否包含可疑、恶意或信息性 IP。 Scout Foundation API 还提供 AS 信息、国家/地区代码以及与 IP 地址关联的密钥标记。 必需:ips (最多 10 个 IP 地址) - List down the malicious and suspicious IPs from these 8.8.8.8 175.155.2.48 185.220.101.101 192.42.116.175 188.165.200.97 185.220.101.88 178.20.55.182 104.182.36.17 with help of Pure Signal Scout plugin.

- Using the Pure Signal Scout plugin, find if the IP Address 185.220.100.240 is malicious ?

- List down key tag associated with IP Address 12wd85.220.100.240 using Scout plugin.
ScoutIPDetailsAPI Scout IP 详细信息 API 提供有关特定 IP 地址的综合信息,涵盖标识、网络通信历史记录、被动 DNS 数据、开放端口、X.509 证书、TLS/SSL 指纹和 WHOIS 记录等详细信息。 此终结点使用户能够通过指定开始和结束日期或选择日期范围来检索有关 IP 地址行为和随时间推移的关系的完整报告。 必需: IP AddressOptional: start_date

start_date 距离当前日期 & 结束日期前 30 天不能超过 90 天

end_date : 不能在未来的日子: 最小值: 1, 最大值: 30
(UTC 中当前时间的相对偏移量(以天为单位)。它不能超过 30 天的最大范围。)

size:
默认值:100,最小值:1,最大值:1000
(要返回) 的响应的大小(以记录为单位) sections: identity
comms pdns open_ports x509 指纹谁是摘要proto_by_ip		 - Using Pure Signal Scout to find what open ports are available on this IP address 47.156.224.38?

- Are there any unusual communication patterns for this IP address 47.156.224.38? Check with the Pure Signal Scout plugin.

- What are the most frequent destinations for this IP address 47.156.224.38? Find using Scout plugin.

- Using Scout plugin find what are the connections between this IP address 47.156.224.38 and specific ASNs?

- Has this IP address 175.155.2.48 been seen in any honeypot data? Find using Scout.

- What are the potential threats associated with this IP address 175.155.2.48?

- What are the country origins of IPs communicating with this one IP 47.156.224.38?
ScoutSearchAPI Scout 搜索 API 提供有关域的详细信息,并支持使用 Scout 查询语言的高级搜索查询。 它返回的结果可能包括国家/地区代码、自治系统 (AS) 信息、标记、WHOIS 数据、开放端口、被动 DNS (PDNS) 、通信详细信息、服务信息、X.509 证书和指纹。 此 API 允许用户使用各种格式生成查询,包括 IP 地址、域名、网站或具有特定选择器的高级查询, (例如 pdns.domain) 。 有关可用搜索选择器的完整详细信息,请参阅 Scout 文档。 必需:查询

可选: start_date: 距离当前日期 & 结束日期前 30 天不能超过 90 天
end_date: 不能是未来天数:最小值:1,最大值:30 (相对于 UTC 当前时间的天数的相对偏移量。它不能超过 30 天的最大范围。) 大小:默认值:100,最小值:1,最大值:5000 (响应的大小(以记录为单位)返回) 		- Using Pure Signal Scout to find what is the WHOIS information for this domain 10crypto.top ?

- Using the Pure Signal Scout plugin can you show me the historical DNS data for this domain akamai.com?

- What are the most recent WHOIS updates for this subtitleseeker.com? Use Scout plugin.

- Using Scout to find what is the reverse WHOIS information for this domain 10crypto.top?

- Use Scout to run the query pdns.domain="*ngrok.io" and give the certificate details about top 10 associated IPs.

- What organization is associated with subtitleseeker.com in the WHOIS data? Use Scout.

对 Pure Signal Scout 插件进行故障排除

发生错误

如果遇到“无法完成请求”之类的错误,请尝试以下步骤进行故障排除:

  1. 启动新会话以刷新上下文,并在新会话中再次尝试提示。

  2. 指定详细提示:请参阅此处Security Copilot的最佳提示指南,并根据 Pure Signal Scout 插件技能和功能创建详细提示。

  3. 调整大小参数:如果问题仍然存在,请在提示符中减小 size 参数以控制响应大小,例如“将大小用作 10”。还可以在 IP 详细信息 API 或 Scout 搜索 API 中对此进行调整,以帮助最大程度地减少响应有效负载。

如果问题仍然存在,请注销Security Copilot,然后重新登录并重试。

提示未调用正确的功能

如果提示未调用正确的功能,或者它们似乎正在激活其他插件,则可能是由于其他插件或自定义插件提供了与 Pure Signal Scout 类似的功能。 例如,如果有多个提供威胁情报或域信息的插件,则可能会出现冲突。 若要确定纯信号 Scout 的优先级,请考虑禁用其他自定义插件。 或者,可以在提示中使用产品名称 Pure Signal Scout 或指定特定技能。

提供反馈

若要提供反馈,请联系 Pure Signal Scout

另请参阅

用于Microsoft Security Copilot的其他插件

在 Microsoft Security Copilot 中管理插件