了解如何使用 Azure Sentinel中的Jupyter Notebook进行先进搜寻。
在我们制定在制定狩猎假设後,可以使用Jupyter notebook整合machine
learning libraries、advanced visualizations和外部数据,以检测恶意
活动。
在使用Jupyter notebook搜索之前,必须了解Azure Sentinel的基础是Log Analytics
数据存储,它结合了高性能查询、动态架构和可扩展到海量数据。Azure 门户和
所有Azure Sentinel工具使用标准API来访问此数据存储。相同的API也可用於
Python和PowerShell等外部工具。可以使用两个libraries来简化API访问:
Kqlmagic library提供了一个易於实现的API wrapper KQL查询。
Microsoft威胁情报Python安全工具是一组Python工具,旨在用於安全调查和追捕。
许多工具起源於Jupyter notebook程序码,用於解决作为安全调查一部分的问题。
一些工具仅在Jupyter notebook中有用(例如,大部分 nbtools 子包),但许多其他
工具可以从Python命令行使用或导入到的程序码中。
软件解决了security investigators及hunters的三个核心需求:
-获取和丰富数据
-分析数据
-可视化数据
msticpy可以使用KQL查询;该Library为Azure Sentinel、Microsoft 365 Defender
for Endpoint和Microsoft Security Graph提供pre defined查询。函数的一个例子是
list_logons_by_account,它搜寻帐户的登录Event。
Jupyter Notebook允许我们建立和共享live code,equations,visualizations,
及explanatory text。
用於包括data cleaning,transformation,numerical simulation,statistical
modeling及machine learning等等。Jupyter扩展了使用Azure Sentinel数据执行
的操作的范围。它将整合library collection for machine learning,
visualization及data analysis,使得Jupyter成为安全调查和追捕的有用工具。
>>: 卡夫卡的藏书阁【Book30】- Kafka - Sum up
总算到了悬浮视窗这步了... 悬浮视窗的原理其实很简单,建立一个背景运作的Service,并且透过W...
前言: 快开赛了...存档不足 八月三日报名铁人赛,八月十六日开始写铁人赛的文章存档 写这一篇的时候...
第十七天 各位点进来的朋友,你们好阿 小的不才只能做这个系列的文章,但还是希望分享给点进来的朋友,知...
时间来到 2020/05,那时系上的毕业专题展刚结束,所以我跟 EC、CC Lai 都闲闲没事做,有...
预计三十天内学会制作一个2D游戏,如果还有时间就继续练习一个3D游戏。 开始先做一个2D的卷轴射击游...