Day30:今天来聊一下如何使用 Azure Sentinel 搜捕威胁

了解如何使用 Azure Sentinel中的Jupyter Notebook进行先进搜寻。

在我们制定在制定狩猎假设後，可以使用Jupyter notebook整合machine

learning libraries、advanced visualizations和外部数据,以检测恶意

活动。

使用外部工具访问Azure Sentinel数据

在使用Jupyter notebook搜索之前,必须了解Azure Sentinel的基础是Log Analytics

数据存储,它结合了高性能查询、动态架构和可扩展到海量数据。Azure 门户和

所有Azure Sentinel工具使用标准API来访问此数据存储。相同的API也可用於

Python和PowerShell等外部工具。可以使用两个libraries来简化API访问：

Kqlmagic

Kqlmagic library提供了一个易於实现的API wrapper KQL查询。

msticpy

Microsoft威胁情报Python安全工具是一组Python工具,旨在用於安全调查和追捕。

许多工具起源於Jupyter notebook程序码,用於解决作为安全调查一部分的问题。

一些工具仅在Jupyter notebook中有用（例如,大部分 nbtools 子包）,但许多其他

工具可以从Python命令行使用或导入到的程序码中。

软件解决了security investigators及hunters的三个核心需求：

-获取和丰富数据

-分析数据

-可视化数据

msticpy可以使用KQL查询；该Library为Azure Sentinel、Microsoft 365 Defender

for Endpoint和Microsoft Security Graph提供pre defined查询。函数的一个例子是

list_logons_by_account，它搜寻帐户的登录Event。

用Jupyter Notebook Hunt

Jupyter Notebook允许我们建立和共享live code,equations,visualizations,

及explanatory text。

用於包括data cleaning,transformation,numerical simulation,statistical

modeling及machine learning等等。Jupyter扩展了使用Azure Sentinel数据执行

的操作的范围。它将整合library collection for machine learning,

visualization及data analysis,使得Jupyter成为安全调查和追捕的有用工具。

<<: Day 30 - [结論] 总整理与建议

>>: 卡夫卡的藏书阁【Book30】- Kafka - Sum up

统一状态管理 + 单一资料流

杂谈

C#学习笔记1：C#程序结构 (Visual Studio)

杂谈

[Day14] Boxenn 实作 Source Wrapper

杂谈

D18 - 彭彭的课程# Python Package 封包的设计与使用

杂谈

[番外] 来个 Weather App (序)

杂谈

Day22 - 悬浮视窗

总算到了悬浮视窗这步了... 悬浮视窗的原理其实很简单，建立一个背景运作的Service，并且透过W...

DAY09 - 孤独的自学之路需要提问的智慧

前言: 快开赛了...存档不足八月三日报名铁人赛，八月十六日开始写铁人赛的文章存档写这一篇的时候...

D 语言和你 SAY HELLO!!

第十七天各位点进来的朋友，你们好阿小的不才只能做这个系列的文章，但还是希望分享给点进来的朋友，知...

参与实验室的研究

时间来到 2020/05，那时系上的毕业专题展刚结束，所以我跟 EC、CC Lai 都闲闲没事做，有...

30天轻松学会unity自制游戏-安装资源包

预计三十天内学会制作一个2D游戏，如果还有时间就继续练习一个3D游戏。开始先做一个2D的卷轴射击游...