伝えたいこと
3,4年ほど前より、セキュリティログ分析の分野でもJupyterが広く利用され始め
Microsoftの調査分析ツール「MSTICpy」もJupyter上で分析すべきと説明しています。
なぜJupyterがいいのか?という理解をせずになんとなく使っているので
きちんとインプットしようとMicrosoftのMSTICpyドキュメントの内容を翻訳しながら読み解き、布教したいと考えました。
私はSplunkとかElasticや時にはお手製のスクラッチpythonツールで分析していたのですが
いつの間にやら時代の流れに乗っかりJupyterで分析することも多くなりました。
Splunk,Elastic,SentinelなどのSIEMが世の中にはあるのになぜJupyterも組み合わせるのか!?
Why Use Jupyter for Security Investigations?
こちらの内容を和訳してみます。DeepL翻訳とGoogle翻訳で和訳しました。
[原文] https://msticpy.readthedocs.io/en/latest/getting_started/JupyterAndSecurity.html
ChatGPTに同じ質問「Why Use Jupyter for Security Investigations?」をしてみる
和訳:
Jupyter Notebookは、ライブコード、方程式、ビジュアライゼーション、および物語テキストを含むドキュメントを作成し、共有することができる人気のオープンソースWebベースツールです。多くのデータアナリスト、科学者、研究者に採用されている汎用性の高いツールです。
Jupyter Notebookは、いくつかの理由でセキュリティ調査に役立ちます:
インタラクティブなデータ分析: Jupyter Notebookは、セキュリティ調査員が大量のデータを分析するための対話的な環境を提供します。これにより、調査員はデータを迅速に探索・視覚化し、コードを修正して分析を再実行することで仮説を検証することができます。
再現性: 調査には、再現が困難な複雑なツールやテクニックを使用する必要がある場合があります。Jupyter Notebookでは、すべてのコード、データ、ビジュアライゼーションを含む、再現可能な調査記録を作成することができます。つまり、他の研究者が簡単に調査を再現し、結果を検証することができるのです。
コラボレーション: Jupyter Notebookでは、複数の研究者が同じ調査に同時に取り組むことができます。これは、分散したチームや、複数の専門家から情報を得る必要がある調査に有効です。
可視化: セキュリティ調査では、多くの場合、大量のデータを分析する必要があります。Jupyter Notebookは強力な可視化ツールを提供し、調査員が複雑なデータセットを探索し理解することを可能にします。
統合: Jupyter Notebookは、クラウドサービスや機械学習フレームワークなど、他のツールやプラットフォームと容易に統合することが可能です。これにより、捜査官はこれらのツールのパワーを捜査に活用することができます。
全体として、Jupyter Notebookは汎用性の高い強力なツールであり、セキュリティ調査において貴重な資産となり得ます。
まとめ
MSTICpyとChatGPTの記述で共通していたのは、以下4点でした。
-
- 途中結果のアプトプットを出力できるデータの再現性
-
- 外部ソースとの結合・統合
-
- 機械学習フレームワークの利用しやすさ
- 豊富なビジュアライゼーションの可視化ツール
なんとなく思ってたことが明確になった気がします。
MSTICpyでの分析と可視化を磨こう!
Happy msticpying!
