Freigeben über

Roter Kanariener

  • Artikel

Red Canary bietet verwaltete Erkennung und Reaktion (MDR) und andere Sicherheitsfunktionen zum Schutz von Endpunkten, Netzwerken, Cloudworkloads, Identitäten und SaaS-Anwendungen. Sie können das Red Canary-Plug-In mit Microsoft Security Copilot verwenden, um Ihre Sicherheitsvorgänge zu verbessern.

Hinweis

Dieser Artikel enthält Informationen zu Plug-Ins von Drittanbietern. Dies wird bereitgestellt, um Integrationsszenarien abzuschließen. Microsoft bietet jedoch keine Unterstützung bei der Problembehandlung für Plug-Ins von Drittanbietern. Wenden Sie sich an den Drittanbieter, um Support zu erhalten.

Klare Ideen vor dem Loslegen

Für die Integration in Security Copilot ist ein API-Schlüssel erforderlich. Sie müssen die Rolle Analyst Viewer oder Admin in Red Canary zugewiesen haben, um Ihren API-Schlüssel abzurufen. Sie müssen die folgenden Schritte ausführen, bevor Sie das Plug-In verwenden.

  1. Rufen Sie Ihren Red Canary-API-Schlüssel ab. Wenn Sie noch keinen haben, führen Sie die folgenden Schritte aus:

  2. Wechseln Sie zum Red Canary-Portal, und melden Sie sich an.

  3. Wählen Sie in der oberen rechten Ecke neben Ihrem Namen Profil anzeigen aus.

  4. Wählen Sie unter API-Authentifizierungstoken generieren die Option Generieren aus.

    Screenshot: Erstellen eines API-Schlüssels in Red Canary

  5. Kopieren und speichern Sie Ihren API-Schlüssel. Es wird empfohlen, einen sicheren Kennworttresor zu verwenden.

  6. Melden Sie sich bei Microsoft Security Copilot an.

  7. Greifen Sie auf Plug-Ins verwalten zu, indem Sie auf der Eingabeaufforderungsleiste die Schaltfläche Plug-In auswählen.

  8. Wählen Sie neben Red Canary die Umschaltfläche aus, um ihn zu aktivieren.

    Screenshot: Aktivieren des Red Canary-Plug-Ins

  9. Geben Sie Ihre Red Canary-URL und Ihr API-Token an.

    Screenshot: Eingabe der Red Canary-URL und des API-Schlüssels

  10. Speichern Sie Ihre Änderungen.

Beispiel für Red Canary-Eingabeaufforderungen

Nachdem das Red Canary-Plug-In konfiguriert wurde, können Sie es verwenden, indem Red Canary Sie in Ihre Security Copilot Eingabeaufforderungsleiste eingeben, gefolgt von einer Aktion. Der folgende Screenshot zeigt die Red Canary-Funktionen, die Sie verwenden können.

Screenshot der verfügbaren Red Canary-Skills.

Die folgende Tabelle enthält mehrere Beispiele, die Sie ausprobieren können:

API-Endpunkt Eingabeaufforderung
openapi/v3/endpoints Show me the 25 most recent endpoints in Red Canary
openapi/v3/endpoint_users Can you show me the most recent 10 endpoint users in Red Canary?
openapi/v3/detections Show me the 10 most recent threats in Red Canary
/openapi/v3/detections/marked_indicators_of_compromise Are there any IOCs in Red Canary?
/openapi/v3/customer/external_alerts Can you show me the external alerts in Red Canary?
/openapi/v3/customer/external_alerts/{id} Can you give me more details on Red Canary external alert 371119?
/openapi/v3/customer/system_activities Were their any detector updates in Red Canary?
/openapi/v3/customer/intel_reporting How many events were analyzed by Red Canary
/openapi/v3/detections/{id} Can you give me more details on Red Canary Threat ID 72?
/openapi/v3/endpoints/sensor_id/{sensor_id} Can you give me more details on Red Canary sensor ID 169428575?
/openapi/v3/endpoints/{id} Can you give me more info on endpoint ID 100000074413556 in Red Canary?
/openapi/v3/detections/{id}/timeline Can you show me the threat timeline entries for Threat ID 72?
/openapi/v3/detections/{id}/detectors Can you list the detectors in Threat 72?
/openapi/v3/detections/{id}/related_detections Can you show me related detections for Threat 72?
/openapi/v3/detections/{id}/marked_indicators_of_compromise Can you show me an IOCs in Threat 72?
/openapi/v3/endpoint_users/{id} Can you give me more information about Endpoint User ID: 100000305141114?
/openapi/v3/detections/{id}/events Can you show me all the events in Threat 72?
/openapi/v3/endpoint_users/{id}/system_activities Can you show me the activities for Endpoint User ID 100000305141114
/openapi/v3/endpoints/{id}/endpoint_users Can you show me the users from Endpoint ID: 100000060390802?
/openapi/v3/search/ip_addresses/{ip_address} can you search for ip address 172.16.16.16 in Red Canary?
/openapi/v3/search/endpoint_hostnames/{endpoint_hostname} Can you search in Red Canary for hostname vtw-ad10a49823a?
/openapi/v3/events Can you show me the most recent events investigated by Red Canary?

Häufig gestellte Fragen (FAQ)

Warum treten Eingabeaufforderungen nicht auf?

Wenn Eingabeaufforderungen nicht aufgerufen werden können, stellen Sie sicher, dass Sie eine unterstützte Eingabeaufforderung verwenden (siehe obige Tabelle).

Warum erhalte ich Fehler?

Wenn bei der Verwendung des Plug-Ins ein Fehler auftritt, stellen Sie sicher, dass es in Ihrer Region keine AWS-Ausfälle gibt (AWS US-East-2).

Feedback geben

Wenden Sie sich an Red Canary, um Feedback zu geben.

Siehe auch

Nicht-Microsoft-Plug-Ins für Microsoft Security CopilotVerwalten von Plug-Ins in Microsoft Security Copilot