Azure Sentinelに関するリンクを集めてみました、特にPython, JupyterNotebookを利用した攻撃分析に関するリンクを貼っていきます。
Azure Sentinelの面白い所は、Python及びそのライブラリを分析に利用できる為、既存のAPIを利用したり、独自のAPIを開発したり、共有したりと面白い展開になりつつあります。ここでは、AzureのUI操作やOutofBox機能には注目せず、AI関連の環境とライブラリをどう駆使して、攻撃分析に利用するのかが記載されてるリンクを貼っていきます。
製品ステータス:プレビュー
##Azure Sentinel 公式サイト
Azure Sentinel製品サイト
Azure Sentinelドキュメントサイト
設定、UI操作、チュートリアル等はこちら
GitHub: Azure Sentinel
既存で出来る検知手法, Exploitation, ハンティングクエリ, Playbook等が格納されています。
Azure Tech Community
エンジニアと会話出来るサイト(未確認です)。最新情報あり!
Azure Log Analytics サイト
Azure Monitor サイト
Kusto Query Language (KQL) Reference サイト
##気の利いたクエリ
https://gist.github.com/JohnLaTwC/5eb27b85960f830b6f557fa6ccc43be5
Azure Sentinel Password spray query(未確認)
##AIを利用した検知系
Machine Learning powered detections with Kusto query language in Azure Sentine
Time series analysis applied in a security hunting context
KQL検索クエリを利用した分析
[Looking for unknown anomalies - what is normal? Time Series analysis & its applications in Security]
(https://techcommunity.microsoft.com/t5/Azure-Sentinel/Looking-for-unknown-anomalies-what-is-normal-Time-Series/ba-p/555052#.XNzueM7auHM.twitter)
異常を検知したい時、時系列分析をどこで使うか
##Threat Intelligentとの統合系
Azure Sentinel — MineMeld. Bring Your Own Threat Intelligence feeds
Threat Intelligentサービスの情報を取り入れる
##オンプレ系
Azure Sentinel: Performing Additional Security Monitoring of High-Value Accounts
重要なアカウントの監視
Azure Sentinel Insecure Protocols Dashboard ImplementationGuide
安全でないプロトコル検知
Audit Scheduled tasks using Azure Sentinel
攻撃者にScheduled Tasksを作られたら...
##Syslog系
Syslog to Azure Sentinel
Kubernetes clusterを使ってSyslogをSentinelへ転送
##JupyterNotebookを使ったハンティング
Azure Huntingサイト
GitHub: msticpy
このあたりは読んでおくべき
Why Use Jupyter for Security Investigations?
なぜセキュリティ調査にJupyterを使うのか、使うべきなのか
Azure Sentinel Hunting - Getstarted
さあ始めよう
[Automating Security Operations Using Windows Defender ATP APIs with Python and Jupyter Notebooks]
(https://techcommunity.microsoft.com/t5/Windows-Defender-ATP/Automating-Security-Operations-Using-Windows-Defender-ATP-APIs/ba-p/294434)
Security Investigation with Azure Sentinel and Jupyter Notebooks – Part 1
Security Investigation with Azure Sentinel and Jupyter Notebooks – Part 2
Security Investigation with Azure Sentinel and Jupyter Notebooks – Part 3
ハンティングノートブックの実際, C&C検知等々
[Azure Sentinel Notebooks]
(https://medium.com/@adriangrigorof/azure-sentinel-notebooks-48526c985ec9)
チュートリアルとAlienvault OTXのAPI利用
Importing Sigma Rules to Azure Sentinel
Sigma Rulesの利用
Looking for unknown anomalies - what is normal? Time Series analysis & its applications in Security
未知のAnomaly検知
Time Series visualization of Palo Alto logs to detect data exfiltration
情報漏洩の分析(未知のAnomaly検知の続き)
##終わりに
モダンハンティングの時代は、攻撃に合わせ、絶えずリアルタイムにクエリや検知手段を、適宜に構築及びアップデイトが出来る環境とスキルが必要となるようです。
これからはOutofBoxの機能のみならず、Python, JupyterNotebook, AI関連の分析手法を習得していく時代となりますね。
Happy Hacking!