ابدأ مع مفكرات Jupyter وMSTICPy في Microsoft Azure Sentinel

ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

توضح هذه المقالة كيفية تشغيل دليل البدء لدفتر ملاحظات التعلم الآلي من Microsoft Sentinel ، الذي يقوم بإعداد التكوينات الأساسية لتشغيل دفاتر ملاحظات Jupyter في Microsoft Sentinel ويوفر أمثلة لتشغيل الاستعلامات البسيطة.

يستخدم دفتر ملاحظات دليل البدء لدفاتر ملاحظات التعلم الآلي من Microsoft SentinelMSTICPy، وهي مكتبة Python قوية مصممة لتحسين تحقيقات الأمان وتعقب التهديدات داخل دفاتر ملاحظات Microsoft Sentinel. يوفر أدوات مضمنة لإثراء البيانات والتصور واكتشاف الحالات الشاذة والاستعلامات التلقائية، مما يساعد المحللين على تبسيط سير عملهم دون ترميز مخصص واسع النطاق.

لمزيد من المعلومات، راجع استخدام دفاتر الملاحظات لتشغيل التحقيقات واستخدام دفاتر ملاحظات Jupyter للبحث عن تهديدات الأمان.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بعد 31 مارس 2027، لن يكون Microsoft Sentinel مدعوما في بوابة Azure وسيكون متاحا فقط في بوابة Microsoft Defender. جميع العملاء الذين يستخدمون مايكروسوفت سينتينل في بوابة Azure سيتم تحويلهم إلى بوابة المدافعين وسيستخدمون مايكروسوفت سينتينل فقط في بوابة المدافعين. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

Prerequisites

قبل البدء، تأكد من أن لديك الأذونات والموارد المطلوبة.

Prerequisite	Description
Permissions	لاستخدام مفكرات الملاحظات في Microsoft Azure Sentinel، تأكد من أن لديك الأذونات المطلوبة. لمزيد من المعلومات، راجع إدارة الوصول إلى دفاتر ملاحظات Microsoft Sentinel.
Python	لتنفيذ الخطوات الواردة في هذه المقالة، تحتاج إلى Python 3.6 أو أحدث. في Azure التعلم الآلي، يمكنك استخدام نواة Python 3.8 (مستحسن) أو نواة Python 3.6. إذا كنت تستخدم دفتر الملاحظات الموضح في هذه المقالة في بيئة Jupyter أخرى، يمكنك استخدام أي نواة تدعم Python 3.6 أو أحدث. لاستخدام دفاتر ملاحظات MSTICPy خارج Microsoft Sentinel وAzure التعلم الآلي (ML)، تحتاج أيضا إلى تكوين بيئة Python الخاصة بك. قم بتثبيت Python 3.6 أو ما بعده مع توزيع Anaconda، والذي يتضمن العديد من الحزم المطلوبة.
ماكس مايند جيولايت 2	يستخدم دفتر الملاحظات هذا خدمة البحث عن الموقع الجغرافي MaxMind GeoLite2 لعناوين IP. لاستخدام خدمة MaxMind GeoLite2، تحتاج إلى مفتاح ترخيص. يمكنك التسجيل للحصول على حساب مجاني ومفتاح في صفحة تسجيل Maxmind.
VirusTotal	يستخدم دفتر الملاحظات هذا VirusTotal (VT) كمصدر استخباراتي للمخاطر. لاستخدام البحث الذكي للمخاطر VirusTotal، تحتاج إلى حساب VirusTotal ومفتاح API. إذا كنت تستخدم مفتاح VT enterprise، خزنه في Azure Key Vault بدلا من ملف msticpyconfig.yaml . لمزيد من المعلومات، راجع تحديد الأسرار كأسرار Key Vault في وثائق MSTICPY. إذا كنت لا ترغب في إعداد Azure Key Vault في الوقت الحالي، فقم بالتسجيل واستخدام حساب مجاني حتى تتمكن من إعداد تخزين Key Vault.

تثبيت دفتر ملاحظات دليل البدء وتشغيله

يصف هذا الإجراء كيفية تشغيل دفتر الملاحظات باستخدام Microsoft Sentinel.

بالنسبة لمايكروسوفت سينتينل في بوابة المدافع، اختردفاترإدارة التهديداتمن مايكروسوفت سنتينل>.> بالنسبة لمايكروسوفت سينتينل في بوابة Azure، تحت إدارة التهديدات، اختر دفاتر الملاحظات.
من تبويب القوالب ، اختر دليل البدء لدفاتر Microsoft Sentinel ML Notebooks .
حدد إنشاء من القالب.
قم بتحرير الاسم وحدد مساحة عمل Azure التعلم الآلي حسب الاقتضاء.
اختر خيار الحفظ لحفظه في مساحة عمل Azure Machine Learning الخاصة بك.
اختر تشغيل دفتر الملاحظات لتشغيل الدفتر. يحتوي دفتر الملاحظات على سلسلة من الخلايا:
- تحتوي خلايا ماركداون على نصوص ورسومات مع تعليمات لاستخدام الدفتر
- تحتوي خلايا الكود على كود تنفيذي يؤدي وظائف دفتر الملاحظات
في أعلى الصفحة، اختر جهاز الكمبيوتر الخاص بك.
تابع بقراءة خلايا markdown وتشغيل خلايا التعليمات البرمجية بالترتيب، باستخدام الإرشادات الموجودة في دفتر الملاحظات. قد يؤدي تخطي الخلايا أو عدم ترتيبها إلى حدوث أخطاء لاحقا في دفتر الملاحظات.

اعتمادا على الدالة التي يتم تنفيذها، قد تعمل التعليمات البرمجية في الخلية بسرعة، أو قد يستغرق بعض الوقت لإكمالها. عند تشغيل الخلية، يتغير زر التشغيل إلى زيادة ونقصان التحميل، ويتم عرض الحالة في أسفل الخلية، مع الوقت المنقضي.

في المرة الأولى التي تقوم فيها بتشغيل خلية تعليمات برمجية، قد يستغرق بدء جلسة العمل بضع دقائق، اعتمادا على إعدادات الحساب. يظهر مؤشر جاهز عندما يكون الدفتر جاهزا لتشغيل خلايا الكود. على سبيل المثال:

يتضمن دفتر ملاحظات دليل البدء لدفاتر ملاحظات التعلم الآلي من Microsoft Sentinel مقاطع للأنشطة التالية:

Name	Description
Introduction	وصف أساسيات دفتر الملاحظات وتوفير نموذج التعليمات البرمجية التي يمكنك تشغيلها لمعرفة كيفية عمل دفاتر الملاحظات.
تهيئة دفتر الملاحظات وMSTICPy	يساعدك على تجهيز بيئتك لتشغيل بقية دفتر الملاحظات. عند تهيئة دفتر الملاحظات، من المتوقع ظهور تحذيرات التكوين حول الإعدادات المفقودة لأنك لم تقم بتكوين أي شيء بعد.
الاستعلام عن البيانات من Microsoft Sentinel	يساعدك على التحقق من إعدادات Microsoft Sentinel وتكوينها واختبارها. استخدم التعليمات البرمجية في هذا القسم للمصادقة على Microsoft Sentinel وتشغيل نموذج استعلام لاختبار الاتصال.
تكوين واختبار موفري البيانات الخارجية (VirusTotal وMaxmind GeoLite2)	يساعدك على تكوين إعدادات VirusTotal، كنموذج لخدمة التحليل الذكي للمخاطر، وMaxMind GeoLite2، كنموذج لخدمة البحث عن الموقع الجغرافي. استخدم التعليمات البرمجية في هذا القسم لتشغيل نماذج الاستعلامات مقابل موفري البيانات هؤلاء لاختبارها.

تقوم التعليمات البرمجية في دليل البدء لدفاتر ملاحظات التعلم الآلي من Microsoft Sentinel بتشغيل أداة MpConfigEdit ، والتي تحتوي على سلسلة من علامات التبويب لتكوين بيئة دفتر الملاحظات. أثناء إجراء التغييرات في أداة MpConfigEdit ، تأكد من حفظ التغييرات قبل المتابعة. يتم تخزين إعدادات الكمبيوتر في ملف msticpyconfig.yaml ، الذي يتم ملؤه تلقائيا بتفاصيل أولية لمساحة عملك.

تأكد من قراءة خلايا الماركداون بعناية حتى تفهم العملية بالكامل، بما في ذلك كل الإعدادات وملف msticpyconfig.yaml . يتم ربط الخطوات التالية والموارد الإضافية والأسئلة المتداولة من موقع wiki لدفاتر ملاحظات Azure Sentinel من نهاية دفتر الملاحظات.

تخصيص استعلاماتك (اختياري)

يوفر دفتر ملاحظات دليل البدء لدفاتر ملاحظات التعلم الآلي من Microsoft Sentinel نماذج استعلامات لاستخدامها عند التعرف على دفاتر الملاحظات. تخصيص الاستعلامات المضمنة عن طريق إضافة المزيد من منطق الاستعلام، أو تشغيل استعلامات كاملة باستخدام الدالة exec_query. على سبيل المثال، تدعم معظم الاستعلامات المضمنة المعامل add_query_items، الذي يمكنك استخدامه لإلحاق عوامل التصفية أو عمليات أخرى بالاستعلامات.

قم بتشغيل خلية التعليمة البرمجية التالية لإضافة إطار بيانات يلخص عدد التنبيهات حسب اسم التنبيه:

from datetime import datetime, timedelta

qry_prov.SecurityAlert.list_alerts(
   start=datetime.utcnow() - timedelta(28),
    end=datetime.utcnow(),
    add_query_items="| summarize NumAlerts=count() by AlertName"
)

قم بتمرير سلسلة استعلام Kusto Query Language (KQL) كاملة إلى موفر الاستعلام. يتم تشغيل الاستعلام مقابل مساحة العمل المتصلة، وترجع البيانات كـ panda DataFrame. Run:
```
# Define your query
test_query = """
OfficeActivity
| where TimeGenerated > ago(1d)
| take 10
"""

# Pass the query to your QueryProvider
office_events_df = qry_prov.exec_query(test_query)
display(office_events_df.head())
```

لمزيد من المعلومات، راجع:

تطبيق إرشادات على دفاتر الملاحظات الأخرى

تصف الخطوات الواردة في هذه المقالة كيفية تشغيل دليل البدء لدفتر ملاحظات التعلم الآلي من Microsoft Sentinel في مساحة عمل التعلم الآلي من Azure عبر Microsoft Sentinel. يمكنك أيضا استخدام هذه المقالة كإرشادات لتنفيذ خطوات مماثلة لتشغيل دفاتر الملاحظات في بيئات أخرى، بما في ذلك محليا.

العديد من دفاتر مايكروسوفت سينتينل لا تستخدم MSTICPy، مثل دفاتر Credential Scanner ، أو أمثلة PowerShell وC#. لا تحتاج دفاتر الملاحظات التي لا تستخدم MSTICpy إلى تكوين MSTICPy الموضح في هذه المقالة.

جرب دفاتر ملاحظات Microsoft Sentinel الأخرى، مثل:

تكوين بيئة دفتر الملاحظات
جولة في ميزات دفتر ملاحظات Cybersec
أمثلة التعلم الآلي في دفاتر الملاحظات
سلسلة مستكشف الكيانات ، بما في ذلك التنويعات للحسابات، النطاقات وعناوين URL، عناوين IP، ومضيفي لينكس أو ويندوز.

لمزيد من المعلومات، راجع:

الملاحظات

هل كانت هذه الصفحة مفيدة؟

Last updated on 2026-01-30