Acessar os dados do Azure Sentinel usando ferramentas externas
Antes de buscar usando notebooks, é fundamental entender que a base do Microsoft Sentinel é o armazenamento de dados do Log Analytics, que combina consultas de alto desempenho, esquema dinâmico e escalas para grandes volumes de dados. O portal do Azure e todas as ferramentas do Microsoft Sentinel usam uma API padrão para acessar esse armazenamento de dados. A mesma API também está disponível para ferramentas externas, como Python e PowerShell. Você pode usar duas bibliotecas para simplificar o acesso à API:
Kqlmagic
msticpy
Kqlmagic
A biblioteca Kqlmagic fornece um wrapper de API fácil de implementar para executar as consultas de KQL.
msticpy
As ferramentas de segurança Python de inteligência contra ameaças da Microsoft são um conjunto de ferramentas Python que devem ser usadas para investigações de segurança e busca. Muitas das ferramentas foram originadas como código Jupyter Notebook gravado para resolver um problema como parte de uma investigação de segurança. Algumas das ferramentas só são úteis em notebooks (por exemplo, grande parte do subpacote nbtools), mas muitas outras podem ser usadas na linha de comando Python ou importadas para o código.
O pacote atende a três necessidades centrais para investigadores de segurança e buscadores:
Aquisição e enriquecimento de dados
Análise de dados
Visualizando dados
O msticpy pode fazer consultas usando o KQL. A biblioteca também oferece consultas predefinidas para o Microsoft Sentinel, o Microsoft Defender XDR para Ponto de Extremidade e o Grafo de Segurança da Microsoft. Um exemplo de função é o list_logons_by_account, que recupera os eventos de logon para uma conta. Para obter detalhes sobre o msticpy, acesse: https://msticpy.readthedocs.io/