2022 年 1 月、Microsoft Threat Intelligence Center (MSTIC) は、オープンソースの Jupyter および Python セキュリティ ツール ライブラリであるMSTICPyの最初のハッカソンを実行しました。セキュリティ コミュニティに MSTICPy の機能と機能を拡張および改善するための貢献を求め、貢献者が貢献を形作り、提供するのを支援しました。 MSTICPy はオープンソース プロジェクトであるため、コミュニティからの貢献は高く評価され、ツールを便利で効果的なものにするのに役立ちます。
コミュニティからの反応は素晴らしく、MSTICPy の将来の設計と方向性に関する関与と議論、および更新されたドキュメントから完全に新しい機能に至るまでの多くの素晴らしい貢献がありました。皆様のご協力に大変感謝しております。少し時間をとって、貢献の一部を紹介し、著者に心から感謝いたします。
これらのコントリビューションの一部はMSTICPy 1.6.1で既にリリースされていますが、残りのアイテムのほとんどはバージョン 1.7.0 になり、2022 年 2 月下旬にリリースされる予定です。
- 貢献のハイライト
- Cybereason のデータ コネクタ (寄稿者: Florian Bracq、AXA)
- Splunk クエリと非同期サポート (寄稿者: Joey Dreijer ( d3vzer0 ))
- リクエストを HTTPX に置き換えました (寄稿者: Grant Versfeld ( @grantversfeld ))
- IntSights TI プロバイダー (寄稿者: Florian Bracq、AXA)
- 更新された QueryTime ウィジェット (寄稿者: Jakub Jirasek、Chr. Hansen)
- 更新された Readme (寄稿者: danielc-evans )
- MSTICPy のプロセス ツリーでの Sysmon データのサポート (寄稿者: Nicolas Bareil ( @nbareil ))
- BLOB ストレージ接続文字列のサポート (寄稿者: Luis Francisco Monge ( @Lukky86 ))
- 私たちの感謝
- より広い影響
- 結論
貢献のハイライト
Cybereason のデータ コネクタ (寄稿者: Florian Bracq、AXA)
この貢献により、 Cybereasonエンドポイント検出および応答 (EDR) 製品用の新しい MSTICPy データ プロバイダーが追加されました。これにより、 Cybereasonユーザーは Jupyter Notebook からクエリを実行し、データを戻してさらに分析することができます。コントリビューションには、ユーザーが選択できるいくつかの事前定義されたクエリも含まれています。
この作業の一環として、Florian は MSTICPy のコア データ プロバイダー機能にいくつかの修正と改善を追加しました。
Splunk クエリと非同期サポート (寄稿者: Joey Dreijer ( d3vzer0 ))
MSTICPy の既存のSplunkデータ プロバイダーは、認証およびアラート イベント用の事前定義された Splunk クエリを追加することで拡張され、ユーザーがより幅広いクエリ セットから選択できるようになりました。さらに、Splunk の非同期クエリ実行のサポートが追加されたことで、クエリのパフォーマンスが向上しました。
リクエストを HTTPX に置き換えました (寄稿者: Grant Versfeld ( @grantversfeld ))
MSTICPy は従来、Python Requests パッケージを使用して HTTP ベースの接続を処理してきました。ただし、Requests のアクティブな開発はしばらく前に終了し、Python の非同期アーキテクチャをサポートしていないため、別のパッケージに移行する必要がありました。 Grant の貢献により、Requests が HTTPX に置き換えられ、MSTICPy が非同期サポートによって改善されたパフォーマンスを利用できるようになりました。
IntSights TI プロバイダー (寄稿者: Florian Bracq、AXA)
Florian からの別の貢献として、IntSights Threat Intelligence (TI) プラットフォームのサポートが MSTICPy に追加されました。この機能により、ユーザーは調査中のインジケーターが IntSights プラットフォームに表示されるかどうかを確認し、インジケーターに関する詳細を取得できます。
更新された QueryTime ウィジェット (寄稿者: Jakub Jirasek、Chr. Hansen)
この貢献により、MSTICPy の既存の QueryTime ウィジェットが更新され、ユーザーが提供した時間単位の変更を正しく受け入れるようになりました。
更新された Readme (寄稿者: danielc-evans )
Readme ファイルは、MSTICPy を初めて使用するユーザーが最初に目にすることが多いため、必要な情報がすべて含まれていることを確認することが重要です。今回の更新では、重要な追加情報を Readme に追加して、まさにそれを行います。
MSTICPy のプロセス ツリーでの Sysmon データのサポート (寄稿者: Nicolas Bareil ( @nbareil ))
この更新により、ユーザーが Sysmon ProcessCreate イベントからプロセス ツリーを生成できるようにするスキーマ サポートが追加されます。これにより、Sysmon ユーザーは MSTICPy の最も強力な視覚化の 1 つを利用できます。
BLOB ストレージ接続文字列のサポート (寄稿者: Luis Francisco Monge ( @Lukky86 ))
この貢献により、ユーザーは MSTICPy の AzureBlobStorage 機能を使用するときに接続文字列を提供できるようになります。これにより、Azure ブログ ストレージ コンテナーに接続する際の柔軟性がユーザーに提供されます。
私たちの感謝
ハッカソン期間中のすべての貢献者の努力に感謝します。これらの貢献は MSTICPy への素晴らしい追加であり、ライブラリをより便利なものにします。
より広い影響
さらに、これらおよび他のユーザーから受け取ったフィードバックのおかげで、私たち (MSTICPy チーム) はいくつかの新機能を追加しました。これらには以下が含まれます:
Pyproject.toml と Setup.cfg
Joey Dreijer ( d3vzer0 ) からの提案のおかげで、プロジェクト構成の多くを setup.cfg と pyproject.toml に実装することで、MSTICPy を現代に移行しました。これには、有効なパッケージ構成をチェックする一部のテストが簡単になるという副次的な利点があります。
これらの外部からの貢献に加えて、ハッカソン中に多くの新機能にも取り組みました。これらの詳細は MSTICPy のリリース ノートに記載されていますが、以下はこれらの追加の概要です。
- インシデントを作成し、ウォッチリストと分析と対話する機能の追加を含む、新しい Microsoft Sentinel API のサポート。
- Sentinel アラート オブジェクトをより適切に処理するために、新しい SentinelAlert エンティティを追加しました。
- Azure 要素の認証機能が改善され、ユーザーはホーム テナント以外のテナントに対して認証できるようになりました。これは MSTIC メンバーの Liam Kirton による初めての寄稿でした。
- データプロバイダーのドキュメントを再構成して、より明確で読みやすくしました。
- GitHub パイプラインを更新して、外部コントリビューターがより簡単に利用できるようにしました。
- 複数のマイナーな修正と改善を実装しました。
MSTICPy の再構築
MSTICPy パッケージは有機的に進化しており、しばらくの間、パッケージの再構築を検討してきました。 Florian Bracq からのインスピレーションのおかげで、モジュールをより論理的な構造に再編成することに着手しました。これらの変更により、MSTICPy の構造がユーザーにとってより直感的になり、将来的にパッケージをより簡単に拡張および保守できるようになります。この再構築は、MSTICPy の v2.0.0 リリースに含まれます。
結論
他にもいくつかの貢献があり、準備が整い次第組み込む予定です。これらは MSTICPy の将来のリリースに含まれます。 GitHubで MSTICPy の最新情報を入手し、Twitter で@msticpyをフォローしてください。
今年はさらに多くのハッカソンを開催する予定ですが、貢献、アイデア、フィードバックはいつでも歓迎します。
MSTICPy チーム ( @msticky )
参考: https ://www.microsoft.com/en-us/security/blog/2022/02/25/msticpy-january-2022-hackathon-highlights/
Comments