MSTICPy扩展：增强Sentinel告警属性获取能力

背景介绍

在安全运营中心(SOC)的日常工作中，Microsoft Sentinel作为云原生SIEM解决方案，其告警和事件管理功能至关重要。MSTICPy作为微软开源的威胁情报和安全分析工具包，提供了与Sentinel集成的能力，使安全分析师能够更高效地处理安全事件。

问题发现

在使用MSTICPy获取Sentinel事件关联告警时，发现当前实现存在一个功能限制：当通过get_incident方法设置alerts=True参数时，返回的告警信息仅包含ID和Name两个字段，而实际API响应中包含的丰富属性信息被丢弃了。

技术分析

深入分析MSTICPy源代码发现，在sentinel_incidents.py文件中，处理告警数据的逻辑确实只提取了系统告警ID和显示名称。然而，Sentinel API返回的告警对象包含更多有价值的属性，特别是ExtendedProperties字段，其中存储了查询语句、查询时间范围等关键信息。

这些扩展属性对于安全分析具有重要价值：

1. 查询语句：可以直接获取触发告警的KQL查询
2. 时间范围：包含查询的开始和结束时间UTC
3. 其他上下文：可能包含实体映射、严重性评分等辅助分析的信息

解决方案实现

针对这一限制，社区贡献者提出了两种改进思路：

1. 扩展现有参数功能：修改alerts参数，使其不仅能接受布尔值，还可以接受字符串值如"full"来指定返回完整告警详情
2. 新增专用参数：添加all_alert_details=True参数来明确控制是否返回完整告警对象

实际实现采用了更直接的方案：在保持现有接口兼容性的前提下，将所有告警属性完整保留，放入一个名为"AlertProperties"的字段中。这种设计既不会破坏现有代码，又提供了访问完整告警数据的途径。

技术实现细节

改进后的告警数据处理逻辑如下：

{
    "ID": alert["properties"]["systemAlertId"],
    "Name": alert["properties"]["alertDisplayName"],
    "AlertProperties": alert["properties"]
}

这种结构化的处理方式使得：

• 原有依赖ID和Name字段的代码不受影响
• 需要深入分析的安全团队可以通过AlertProperties访问所有原始属性
• 保持了数据的完整性和一致性

应用场景示例

获取完整告警属性后，安全团队可以实现更高级的分析功能，例如：

# 获取事件关联的所有告警
incident_alerts = sentinel.get_incident(incident_id, alerts=True)

for alert in incident_alerts:
    # 访问基础属性
    print(f"告警名称: {alert['Name']}")
    
    # 访问完整属性
    ext_props = json.loads(alert['AlertProperties']['ExtendedProperties'])
    query = ext_props.get('Query')
    start_time = ext_props.get('Query Start Time UTC')
    end_time = ext_props.get('Query End Time UTC')
    
    # 使用原始查询和时间范围进行深入分析
    print(f"触发查询: {query}")
    print(f"时间范围: {start_time} 至 {end_time}")

总结

MSTICPy对Sentinel告警属性获取能力的增强，显著提升了安全分析工作的效率和深度。这一改进使得安全团队能够：

1. 直接获取告警的完整上下文信息
2. 基于原始查询进行更精确的事件调查
3. 减少额外API调用的需求，提高分析效率
4. 保持与现有工作流程的兼容性

这一功能增强现已合并到主分支，将在下一版本中发布，为安全社区提供更强大的Sentinel集成能力。