Přístup k datům Azure Sentinelu pomocí externích nástrojů
Před proaktivním vyhledáváním s poznámkovými bloky je důležité pochopit základ Microsoft Sentinelu je úložiště dat Log Analytics, které kombinuje vysoce výkonné dotazování, dynamické schéma a škálování na obrovské objemy dat. Azure Portal a všechny nástroje Microsoft Sentinelu používají pro přístup k tomuto úložišti dat standardní rozhraní API. Stejné rozhraní API je také k dispozici pro externí nástroje, jako je Python a PowerShell. Existují dvě knihovny, které můžete použít ke zjednodušení přístupu k rozhraní API:
Kqlmagic
msticpy
Kqlmagic
Knihovna Kqlmagic poskytuje snadnou implementaci obálky rozhraní API pro spouštění dotazů KQL.
msticpy
Nástroje zabezpečení Pythonu pro analýzu hrozeb v Pythonu jsou sada nástrojů Pythonu, které se mají použít pro vyšetřování zabezpečení a proaktivní vyhledávání. Řada nástrojů vznikla jako poznámkové bloky Jupyter napsané pro řešení problému v rámci vyšetřování zabezpečení. Některé nástroje jsou užitečné jenom v poznámkových blocích (například většina dílčího balíčku nbtools), ale mnoho dalších je možné použít z příkazového řádku Pythonu nebo importovat do kódu.
Balíček řeší tři centrální potřeby bezpečnostních vyšetřovatelů a lovců:
Získávání a rozšiřování dat
Analýza dat
Vizualizace dat
msticpy může dotazovat pomocí KQL; Knihovna také poskytuje předdefinované dotazy pro Microsoft Sentinel, XDR v programu Microsoft Defender pro koncový bod a Microsoft Security Graph. Příkladem funkce je list_logons_by_account, která načte události přihlášení pro účet. Podrobnosti o msticpy najdete zde: https://msticpy.readthedocs.io/