Acceso a los datos de Azure Sentinel con herramientas externas
Antes de realizar búsquedas con cuadernos, es esencial comprender que la base de Microsoft Sentinel es el almacén de datos de Log Analytics, que combina consultas de alto rendimiento, esquemas dinámicos y se escala a volúmenes de datos masivos. Azure Portal y todas las herramientas de Microsoft Sentinel emplean una API común para acceder a este almacén de datos. Esta misma API está disponible también para herramientas externas, como Python y PowerShell. Hay dos bibliotecas que puede usar para simplificar el acceso a la API:
Kqlmagic
msticpy
Kqlmagic
La biblioteca Kqlmagic proporciona un contenedor de API fácil de implementar para ejecutar consultas KQL.
msticpy
Microsoft Threat Intelligence Python Security Tools es un conjunto de herramientas de Python diseñado para su uso en investigaciones y búsquedas. Muchas de las herramientas se originan como cuadernos de código de Jupyter escritos para solucionar un problema como parte de una investigación de seguridad. Algunas de las herramientas solo son útiles en los cuadernos (por ejemplo, gran parte del subpaquete nbtools), pero muchas otras se pueden usar desde la línea de comandos de Python o importarse en el código.
El paquete soluciona tres necesidades centrales de investigadores y responsables de búsquedas:
Adquirir y enriquecer los datos
Análisis de datos
Visualización de datos
msticpy puede realizar consultas mediante KQL; la biblioteca también proporciona consultas predefinidas para Microsoft Sentinel, Microsoft Defender XDR para punto de conexión y Microsoft Security Graph. Un ejemplo de una función es list_logons_by_account, que recupera los eventos de inicio de sesión de una cuenta. Para más información sobre msticpy, visite https://msticpy.readthedocs.io/.