Zugreifen auf Azure-Sentinel-Daten mit externen Tools
Vor dem Hunting mit Notebooks ist es von entscheidender Bedeutung zu wissen, dass Microsoft Sentinel auf dem Log Analytics-Datenspeicher beruht, der leistungsstarke Abfragen, ein dynamisches Schema sowie Skalierungsfunktionen für erhebliche Datenmengen bereitstellt. Das Azure-Portal und alle Microsoft Sentinel-Tools verwenden eine Standard-API für den Zugriff auf diesen Datenspeicher. Dieselbe API steht auch für externe Tools wie Python und PowerShell zur Verfügung. Es gibt zwei Bibliotheken, mit deren Hilfe Sie den API-Zugriff vereinfachen können:
Kqlmagic
msticpy
Kqlmagic
Die Kqlmagic-Bibliothek bietet einen einfach zu implementierenden API-Wrapper für die Ausführung von KQL-Abfragen.
msticpy
Bei den Python-Sicherheitstools für Microsoft Threat Intelligence handelt es sich um eine Reihe von Python-Tools, die für Sicherheitsuntersuchungen und zur Bedrohungssuche verwendet werden. Viele der Tools entstanden als codebasierte Jupyter Notebook-Instanzen, die geschrieben wurden, um im Rahmen einer Sicherheitsuntersuchung ein Problem zu lösen. Einige der Tools sind nur in Notebooks nützlich (z. B. ein Großteil des nbtools-Teilpakets), aber viele andere können in der Python-Befehlszeile verwendet oder in Ihren Code importiert werden.
Das Paket befasst sich mit drei zentralen Anforderungen für die Sicherheitsuntersuchung und die Bedrohungssuche:
Erwerben und Anreichern von Daten
Analysieren von Daten
Visualisieren von Daten
msticpy kann über KQL Abfragen durchführen. Die Bibliothek bietet auch vordefinierte Abfragen für Microsoft Sentinel, Microsoft Defender XDR for Endpoint und Microsoft Security Graph. Ein Beispiel für eine Funktion ist „list_logons_by_account“, durch die die Anmeldeereignisse für ein Konto abgerufen werden. Weitere Informationen zu msticpy finden Sie unter https://msticpy.readthedocs.io/.