红色金丝雀
Red Canary 提供托管检测和响应 (MDR) 和其他安全功能,以保护终结点、网络、云工作负载、标识和 SaaS 应用程序。 可以将 Red Canary 插件与 Microsoft Security Copilot 配合使用,以增强安全操作。
注意
本文包含有关第三方插件的信息。 这是为了帮助完成集成方案而提供的。 但是,Microsoft不提供对第三方插件的故障排除支持。 请联系第三方供应商获取支持。
在开始之前了解
与 Security Copilot 集成需要 API 密钥。 必须在 Red Canary 中分配分析师查看者或管理员角色才能获取 API 密钥,在使用插件之前需要执行以下步骤。
获取红色金丝雀 API 密钥。 如果还没有,请按照以下步骤操作:
转到“红色 Canary”门户并登录。
在右上角的“你的姓名”旁边,选择“ 查看配置文件”。
在 “生成 API 身份验证令牌”下,选择“ 生成”。
复制并保存 API 密钥。 建议使用安全密码保管库。
通过从提示栏中选择“插件”按钮来访问“管理插件”。
在 “红色金丝雀”旁边,选择切换以启用它。
提供红色金丝雀 URL 和 API 令牌。
保存所做的更改。
示例红色金丝雀提示
配置 Red Canary 插件后,可以通过在Security Copilot提示栏中键入Red Canary操作来使用它。 以下屏幕截图显示了可以使用的红色金丝雀功能。
下表提供了几个可以尝试的示例:
| API 终结点 | Prompt |
|---|---|
openapi/v3/endpoints |
Show me the 25 most recent endpoints in Red Canary |
openapi/v3/endpoint_users |
Can you show me the most recent 10 endpoint users in Red Canary? |
openapi/v3/detections |
Show me the 10 most recent threats in Red Canary |
/openapi/v3/detections/marked_indicators_of_compromise |
Are there any IOCs in Red Canary? |
/openapi/v3/customer/external_alerts |
Can you show me the external alerts in Red Canary? |
/openapi/v3/customer/external_alerts/{id} |
Can you give me more details on Red Canary external alert 371119? |
/openapi/v3/customer/system_activities |
Were their any detector updates in Red Canary? |
/openapi/v3/customer/intel_reporting |
How many events were analyzed by Red Canary |
/openapi/v3/detections/{id} |
Can you give me more details on Red Canary Threat ID 72? |
/openapi/v3/endpoints/sensor_id/{sensor_id} |
Can you give me more details on Red Canary sensor ID 169428575? |
/openapi/v3/endpoints/{id} |
Can you give me more info on endpoint ID 100000074413556 in Red Canary? |
/openapi/v3/detections/{id}/timeline |
Can you show me the threat timeline entries for Threat ID 72? |
/openapi/v3/detections/{id}/detectors |
Can you list the detectors in Threat 72? |
/openapi/v3/detections/{id}/related_detections |
Can you show me related detections for Threat 72? |
/openapi/v3/detections/{id}/marked_indicators_of_compromise |
Can you show me an IOCs in Threat 72? |
/openapi/v3/endpoint_users/{id} |
Can you give me more information about Endpoint User ID: 100000305141114? |
/openapi/v3/detections/{id}/events |
Can you show me all the events in Threat 72? |
/openapi/v3/endpoint_users/{id}/system_activities |
Can you show me the activities for Endpoint User ID 100000305141114 |
/openapi/v3/endpoints/{id}/endpoint_users |
Can you show me the users from Endpoint ID: 100000060390802? |
/openapi/v3/search/ip_addresses/{ip_address} |
can you search for ip address 172.16.16.16 in Red Canary? |
/openapi/v3/search/endpoint_hostnames/{endpoint_hostname} |
Can you search in Red Canary for hostname vtw-ad10a49823a? |
/openapi/v3/events |
Can you show me the most recent events investigated by Red Canary? |
常见问题解答(FAQ)
为什么提示失败?
如果提示调用失败,请确保使用支持的提示 (查看上表) 。
为什么我收到错误?
如果在使用插件时遇到错误,请确保区域中没有 AWS 中断, (AWS US-East-2) 。
提供反馈
若要提供反馈,请联系 Red Canary。
另请参阅
Microsoft Security Copilot 中Microsoft Security Copilot管理插件的非Microsoft插件