Condividi tramite

Pure Signal Scout

  • Articolo

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

Pure Signal Scout Il plug-in Pure Signal Scout del Team Cymru consente ai clienti Security Copilot di raccogliere informazioni dettagliate sulle minacce su indirizzi IP e domini in tempo reale. Scout offre velocità, accuratezza e visibilità ineguagliabili, consentendo agli analisti della sicurezza di prendere decisioni più rapide e informate. Le potenti funzionalità di Scout garantiscono che i team di sicurezza possano stare al passo con le minacce informatiche in continua evoluzione. Fornisce informazioni dettagliate su attività IP dannose, informazioni sul dominio, porte aperte, comunicazioni e altro ancora. Con i dati arricchiti con intelligenza artificiale provenienti da origini come DNS passivo e certificati crittografici, consente ai team di sicurezza di rilevare e bloccare gli INDIRIZZI IP dannosi, semplificando le indagini e migliorando i tempi di risposta.

Sapere prima di iniziare

L'integrazione con Security Copilot funziona con una chiave API che è necessario recuperare prima di usare il plug-in. È possibile creare un nuovo account utente o usare l'account esistente per ottenere la chiave.

Creare un nuovo account utente e ottenere la chiave API

  1. Passare alla versione di valutazione di Scout Insight e compilare i dettagli necessari.

  2. Verificare il messaggio di posta elettronica e impostare una password.

  3. Accedere al portale di Pure Signal Scout .

  4. Passare alla pagina Chiavi API.

  5. Selezionare Crea.

  6. (Facoltativo) Aggiungere una descrizione per la chiave.

  7. Selezionare Crea chiave per generare la chiave.

  8. Se il pulsante Crea è disabilitato, l'organizzazione ha raggiunto il numero massimo di chiavi. In questo caso, seguire questa procedura:

    1. Accanto a una chiave precedente selezionare Revoca.

    2. Selezionare Crea chiave per iniziare a generare una nuova chiave.

Usare l'account esistente e ottenere la chiave API

  1. Accedere al portale di Pure Signal Scout .

  2. Passare alla pagina Chiavi API.

  3. Selezionare Crea.

  4. (Facoltativo) Aggiungere una descrizione per la chiave.

  5. Selezionare Crea chiave per generare la chiave.

  6. Se il pulsante Crea è disabilitato, l'organizzazione ha raggiunto il numero massimo di chiavi. In questo caso, seguire questa procedura:

    1. Accanto a una chiave precedente selezionare Revoca.

    2. Selezionare Crea chiave per iniziare a generare una nuova chiave.

Configurare il plug-in Pure Signal Scout in Security Copilot

  1. Accedere a Microsoft Security Copilot.

  2. Per accedere a Gestisci plug-in, selezionare il pulsante Plug-in dalla barra del prompt.

  3. Accanto a Pure Signal Scout Plugin (Plug-in Pure Signal Scout) selezionare Configura.

    Immagine del plug-in Pure Signal Scout.

  4. Nel campo Valore incollare la chiave API Pure Signal Scout e quindi selezionare Salva.

    Immagine delle impostazioni del plug-in Pure Signal Scout.

Richieste di esempio di Pure Signal Scout

Funzionalità Descrizione Parametri di input Esempio di Richieste
ScoutFoundationAPI Accetta gli indirizzi IP e abilita l'analisi in blocco, offrendo informazioni dettagliate sul fatto che il set contenga indirizzi IP sospetti, dannosi o informativi. L'API Scout Foundation fornisce anche informazioni as, codici paese e tag chiave associati agli indirizzi IP. Obbligatorio: ip (massimo 10 indirizzi IP) - List down the malicious and suspicious IPs from these 8.8.8.8 175.155.2.48 185.220.101.101 192.42.116.175 188.165.200.97 185.220.101.88 178.20.55.182 104.182.36.17 with help of Pure Signal Scout plugin.

- Using the Pure Signal Scout plugin, find if the IP Address 185.220.100.240 is malicious ?

- List down key tag associated with IP Address 12wd85.220.100.240 using Scout plugin.
ScoutIPDetailsAPI L'API Dettagli IP scout fornisce informazioni complete su un indirizzo IP specifico, che copre dettagli quali identità, cronologia delle comunicazioni di rete, dati DNS passivi, porte aperte, certificati X.509, impronte digitali TLS/SSL e record WHOIS. Questo endpoint consente agli utenti di recuperare un report completo sul comportamento e le relazioni di un indirizzo IP nel tempo specificando le date di inizio e fine o selezionando un intervallo di giorni. Obbligatorio: : IP AddressOptional: start_date

start_date non può essere più di 90 giorni indietro dalla data corrente & 30 giorni prima della data di fine

end_date : non può essere nei giorni futuri: min: 1, max: 30
Offset relativo in giorni rispetto all'ora corrente in formato UTC. Non può superare l'intervallo massimo di 30 giorni.

size:
default: 100, min: 1, max: 1000
(Dimensioni della risposta, nei record, da restituire) sections: identity
comms pdns open_ports x509 fingerprints whois summary proto_by_ip		 - Using Pure Signal Scout to find what open ports are available on this IP address 47.156.224.38?

- Are there any unusual communication patterns for this IP address 47.156.224.38? Check with the Pure Signal Scout plugin.

- What are the most frequent destinations for this IP address 47.156.224.38? Find using Scout plugin.

- Using Scout plugin find what are the connections between this IP address 47.156.224.38 and specific ASNs?

- Has this IP address 175.155.2.48 been seen in any honeypot data? Find using Scout.

- What are the potential threats associated with this IP address 175.155.2.48?

- What are the country origins of IPs communicating with this one IP 47.156.224.38?
ScoutSearchAPI L'API Ricerca scout fornisce informazioni dettagliate sui domini e supporta query di ricerca avanzate usando il linguaggio di query Scout. Restituisce risultati che possono includere codici paese, informazioni del sistema autonomo (AS), tag, dati WHOIS, porte aperte, DNS passivo (PDNS), dettagli di comunicazione, informazioni sul servizio, certificati X.509 e impronte digitali. Questa API consente agli utenti di compilare una query usando vari formati, tra cui indirizzo IP, nomi di dominio, siti Web o query avanzate con selettori specifici ,ad esempio pdns.domain. I dettagli completi sui selettori di ricerca disponibili sono disponibili nella documentazione di Scout. Obbligatorio: query

Facoltativo: start_date: non può superare i 90 giorni dalla data corrente & 30 giorni prima della data di fine
end_date: non può essere giorni futuri: min: 1, massimo: 30 (offset relativo in giorni dall'ora corrente in UTC. Non può superare l'intervallo massimo di 30 giorni. size: default: 100, min: 1, max: 5000 (Dimensioni della risposta, nei record, da restituire)		 - Using Pure Signal Scout to find what is the WHOIS information for this domain 10crypto.top ?

- Using the Pure Signal Scout plugin can you show me the historical DNS data for this domain akamai.com?

- What are the most recent WHOIS updates for this subtitleseeker.com? Use Scout plugin.

- Using Scout to find what is the reverse WHOIS information for this domain 10crypto.top?

- Use Scout to run the query pdns.domain="*ngrok.io" and give the certificate details about top 10 associated IPs.

- What organization is associated with subtitleseeker.com in the WHOIS data? Use Scout.

Risolvere i problemi del plug-in Pure Signal Scout

Si verificano errori

Se si verificano errori come "Impossibile completare la richiesta", provare la procedura seguente per risolvere i problemi:

  1. Avviare una nuova sessione per aggiornare il contesto e tentare di nuovo la richiesta in una nuova sessione.

  2. Specificare una richiesta dettagliata: fare riferimento alle migliori linee guida per la richiesta per Security Copilot qui e creare richieste dettagliate in base alle capacità e alle funzionalità del plug-in Pure Signal Scout.

  3. Modificare il parametro Size: se il problema persiste, ridurre il parametro size nel prompt per controllare le dimensioni della risposta, ad esempio "Usa dimensioni come 10". Questa operazione può essere regolata anche nell'API Dettagli IP o nell'API Ricerca scout per ridurre al minimo i payload di risposta.

Se il problema persiste, disconnettersi da Security Copilot, quindi accedere di nuovo e riprovare.

Richieste non richiamano le funzionalità corrette

Se le richieste non richiamano le funzionalità corrette o se sembrano attivare un plug-in diverso, potrebbe essere dovuto ad altri plug-in o plug-in personalizzati che forniscono funzionalità simili a Pure Signal Scout. Ad esempio, se sono presenti più plug-in che offrono informazioni sulle minacce o sul dominio, potrebbero verificarsi conflitti. Per definire la priorità e in particolare Pure Signal Scout, è consigliabile disabilitare altri plug-in personalizzati. In alternativa, è possibile usare il nome del prodotto Pure Signal Scout nei prompt o specificare una particolare competenza.

Inviare feedback

Per fornire feedback, contattare Pure Signal Scout.

Vedere anche

Altri plug-in per Microsoft Security Copilot

Gestire i plug-in in Microsoft Security Copilot