首页
/ MSTICPy扩展:增强Sentinel告警属性获取能力

MSTICPy扩展:增强Sentinel告警属性获取能力

2025-07-07 16:14:18作者:董灵辛Dennis

背景介绍

在安全运营中心(SOC)的日常工作中,Microsoft Sentinel作为云原生SIEM解决方案,其告警和事件管理功能至关重要。MSTICPy作为微软开源的威胁情报和安全分析工具包,提供了与Sentinel集成的能力,使安全分析师能够更高效地处理安全事件。

问题发现

在使用MSTICPy获取Sentinel事件关联告警时,发现当前实现存在一个功能限制:当通过get_incident方法设置alerts=True参数时,返回的告警信息仅包含ID和Name两个字段,而实际API响应中包含的丰富属性信息被丢弃了。

技术分析

深入分析MSTICPy源代码发现,在sentinel_incidents.py文件中,处理告警数据的逻辑确实只提取了系统告警ID和显示名称。然而,Sentinel API返回的告警对象包含更多有价值的属性,特别是ExtendedProperties字段,其中存储了查询语句、查询时间范围等关键信息。

这些扩展属性对于安全分析具有重要价值:

  1. 查询语句:可以直接获取触发告警的KQL查询
  2. 时间范围:包含查询的开始和结束时间UTC
  3. 其他上下文:可能包含实体映射、严重性评分等辅助分析的信息

解决方案实现

针对这一限制,社区贡献者提出了两种改进思路:

  1. 扩展现有参数功能:修改alerts参数,使其不仅能接受布尔值,还可以接受字符串值如"full"来指定返回完整告警详情
  2. 新增专用参数:添加all_alert_details=True参数来明确控制是否返回完整告警对象

实际实现采用了更直接的方案:在保持现有接口兼容性的前提下,将所有告警属性完整保留,放入一个名为"AlertProperties"的字段中。这种设计既不会破坏现有代码,又提供了访问完整告警数据的途径。

技术实现细节

改进后的告警数据处理逻辑如下:

{
    "ID": alert["properties"]["systemAlertId"],
    "Name": alert["properties"]["alertDisplayName"],
    "AlertProperties": alert["properties"]
}

这种结构化的处理方式使得:

  • 原有依赖ID和Name字段的代码不受影响
  • 需要深入分析的安全团队可以通过AlertProperties访问所有原始属性
  • 保持了数据的完整性和一致性

应用场景示例

获取完整告警属性后,安全团队可以实现更高级的分析功能,例如:

# 获取事件关联的所有告警
incident_alerts = sentinel.get_incident(incident_id, alerts=True)

for alert in incident_alerts:
    # 访问基础属性
    print(f"告警名称: {alert['Name']}")
    
    # 访问完整属性
    ext_props = json.loads(alert['AlertProperties']['ExtendedProperties'])
    query = ext_props.get('Query')
    start_time = ext_props.get('Query Start Time UTC')
    end_time = ext_props.get('Query End Time UTC')
    
    # 使用原始查询和时间范围进行深入分析
    print(f"触发查询: {query}")
    print(f"时间范围: {start_time}{end_time}")

总结

MSTICPy对Sentinel告警属性获取能力的增强,显著提升了安全分析工作的效率和深度。这一改进使得安全团队能够:

  1. 直接获取告警的完整上下文信息
  2. 基于原始查询进行更精确的事件调查
  3. 减少额外API调用的需求,提高分析效率
  4. 保持与现有工作流程的兼容性

这一功能增强现已合并到主分支,将在下一版本中发布,为安全社区提供更强大的Sentinel集成能力。

登录后查看全文
热门项目推荐

热门内容推荐

最新内容推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
149
1.95 K
kernelkernel
deepin linux kernel
C
22
6
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
980
395
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
274
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
931
555
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
190
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
66
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
65
518
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.11 K
0