Help us understand the problem. What is going on with this article?

Azure Sentinelでのモダンハンティング - リンク集

Azure Sentinelに関するリンクを集めてみました、特にPython, JupyterNotebookを利用した攻撃分析に関するリンクを貼っていきます。

Azure Sentinelの面白い所は、Python及びそのライブラリを分析に利用できる為、既存のAPIを利用したり、独自のAPIを開発したり、共有したりと面白い展開になりつつあります。ここでは、AzureのUI操作やOutofBox機能には注目せず、AI関連の環境とライブラリをどう駆使して、攻撃分析に利用するのかが記載されてるリンクを貼っていきます。

製品ステータス:プレビュー

Azure Sentinel 公式サイト

Azure Sentinel製品サイト
Azure Sentinelドキュメントサイト
設定、UI操作、チュートリアル等はこちら

GitHub: Azure Sentinel
既存で出来る検知手法, Exploitation, ハンティングクエリ, Playbook等が格納されています。
Azure Tech Community
エンジニアと会話出来るサイト(未確認です)。最新情報あり!

Azure Log Analytics サイト
Azure Monitor サイト
Kusto Query Language (KQL) Reference サイト

気の利いたクエリ

https://gist.github.com/JohnLaTwC/5eb27b85960f830b6f557fa6ccc43be5
Azure Sentinel Password spray query(未確認)

AIを利用した検知系

Machine Learning powered detections with Kusto query language in Azure Sentine
Time series analysis applied in a security hunting context
KQL検索クエリを利用した分析
Looking for unknown anomalies - what is normal? Time Series analysis & its applications in Security
異常を検知したい時、時系列分析をどこで使うか

Threat Intelligentとの統合系

Azure Sentinel — MineMeld. Bring Your Own Threat Intelligence feeds
Threat Intelligentサービスの情報を取り入れる

オンプレ系

Azure Sentinel: Performing Additional Security Monitoring of High-Value Accounts
重要なアカウントの監視
Azure Sentinel Insecure Protocols Dashboard ImplementationGuide
安全でないプロトコル検知
Audit Scheduled tasks using Azure Sentinel
攻撃者にScheduled Tasksを作られたら...

Syslog系

Syslog to Azure Sentinel
Kubernetes clusterを使ってSyslogをSentinelへ転送

JupyterNotebookを使ったハンティング

Azure Huntingサイト
GitHub: msticpy
このあたりは読んでおくべき
Why Use Jupyter for Security Investigations?
なぜセキュリティ調査にJupyterを使うのか、使うべきなのか

Azure Sentinel Hunting - Getstarted
さあ始めよう

Automating Security Operations Using Windows Defender ATP APIs with Python and Jupyter Notebooks
Security Investigation with Azure Sentinel and Jupyter Notebooks – Part 1
Security Investigation with Azure Sentinel and Jupyter Notebooks – Part 2
Security Investigation with Azure Sentinel and Jupyter Notebooks – Part 3
ハンティングノートブックの実際, C&C検知等々

Azure Sentinel Notebooks
チュートリアルとAlienvault OTXのAPI利用

Importing Sigma Rules to Azure Sentinel
Sigma Rulesの利用

Looking for unknown anomalies - what is normal? Time Series analysis & its applications in Security
未知のAnomaly検知
Time Series visualization of Palo Alto logs to detect data exfiltration
情報漏洩の分析(未知のAnomaly検知の続き)

終わりに

モダンハンティングの時代は、攻撃に合わせ、絶えずリアルタイムにクエリや検知手段を、適宜に構築及びアップデイトが出来る環境とスキルが必要となるようです。

これからはOutofBoxの機能のみならず、Python, JupyterNotebook, AI関連の分析手法を習得していく時代となりますね。
Happy Hacking!

kiwatana
バレーボール好きのエンジニア 愛犬達とシンプルな生活を楽しんでいます
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした