تكوينات متقدمة لأجهزة الكمبيوتر المحمولة Jupyter وMSTICPy في Microsoft Sentinel

توضح هذه المقالة التكوينات المتقدمة للعمل مع دفاتر Jupyter وMSTICPy في Microsoft Sentinel.

لمزيد من المعلومات، راجع استخدام دفاتر Jupyter للبحث عن تهديدات الأمان والبرنامج التعليمي: بدء استخدام دفاتر Jupyter و MSTICPy في Microsoft Sentinel.

المتطلبات الأساسية

تعتبر هذه المقالة استمرار من البرنامج التعليمي: ابدأ مع دفاتر Jupyter و MSTICPy في Microsoft Sentinel. نوصي بإجراء البرنامج التعليمي قبل متابعة الإجراءات المتقدمة المبينة أدناه.

حدد معلمات المصادقة لـ Azure و Microsoft Sentinel APIs

يصف هذا الإجراء كيفية تكوين معلمات المصادقة لـ Microsoft Sentinel وموارد Azure API الأخرى في ملف msticpyconfig.yaml الخاص بك.

لإضافة مصادقة Azure وإعدادات Microsoft Sentinel API في محرر إعدادات MSTICPy:

1. انتقل إلى الخلية التالية، مع الكود التالي، وقم بتشغيلها:

   mpedit.set_tab("Data Providers")
   mpedit
   

2. في علامة التبويب موفر البيانات، حدد AzureCLI>Add.

3. حدد طرق المصادقة المراد استخدامها:

   • بينما يمكنك استخدام مجموعة مختلفة من الأساليب من الإعدادات الافتراضية لـ Azure، فإن هذا الاستخدام لا يُعد تكوينًا نموذجيًا.
   • ما لم تكن تريد استخدام المصادقة env (متغير البيئة)، اترك حقول clientId و tenantiId وclientSecret فارغة.
   • على الرغم من عدم التوصية به، يدعم MSTICPy أيضًا استخدام معرفات تطبيق العميل وأسرار مصادقتك. في تلك الحالات، حدد حقول clientId وtenantId وclientSecret مباشرةً في علامة التبويب "موفرو البيانات".

4. حدد حفظ الملف لحفظ التغييرات الخاصة بك.

تحديد موفري استعلام التحميل التلقائي

حدد أي موفري استعلام تريد MSTICPy تحميله تلقائيًا عند تشغيل nbinit.init_notebook الوظيفة.

عندما تؤلف دفاتر ملاحظات جديدة بشكل متكرر، يمكن لموفري استعلام التحميل التلقائي توفير الوقت من خلال ضمان تحميل الموفرين المطلوبين قبل المكونات الأخرى، مثل الوظائف المحورية وأجهزة الكمبيوتر المحمولة.

لإضافة موفري الاستعلام التحميل التلقائي:

1. انتقل إلى الخلية التالية، مع الكود التالي، وقم بتشغيلها:

   mpedit.set_tab("Autoload QueryProvs")
   mpedit
   

2. في علامة التبويب Autoload QueryProv:

   • بالنسبة لموفري Microsoft Sentinel، حدد كلاً من اسم الموفر واسم مساحة العمل التي تريد الاتصال بها.
   • بالنسبة لموفري مزامنة الاستعلام الآخرين، حدد اسم الموفر فقط.

   يحتوي كل مزود أيضًا على القيم الاختيارية التالية:

   • الاتصال التلقائي: يتم تعريف هذا الخيار على أنه True افتراضيًا، ويحاول MSTICPy المصادقة على الموفر فور التحميل. يفترض MSTICPy أنك قمت بتكوين بيانات الاعتماد للموفر في الإعدادات الخاصة بك.

   • الاسم المستعار: عندما يقوم MSTICPy بتحميل موفر، فإنه يعين الموفر لاسم متغيّر Python. بشكل افتراضي، اسم المتغيّر هو qryworkspace_name لموفري Microsoft Sentinel وqryprovider_name للموفّرين الآخرين.

     على سبيل المثال، إذا قمت بتحميل موفر استعلام لمساحة عمل ContosoSOC، فسيتم إنشاء موفر الاستعلام هذا في بيئة دفتر ملاحظاتك بالاسم qry_ContosoSOC. أضف اسمًا مستعارًا إذا كنت تريد استخدام شيء أقصر أو أسهل في الكتابة والتذكر. سيكون اسم متغير الموفر qry_<alias>، حيث يتم استبداله <alias>بالاسم المستعار الذي قدمته.

     تتم أيضًا إضافة الموفرين الذين تقوم بتحميلهم بواسطة هذه الآلية إلى سمة current_providersMSTICPy، والتي يتم استخدامها، على سبيل المثال، في التعليمة البرمجية التالية:

     import msticpy
     msticpy.current_providers
     

3. حدد حفظ الإعدادات لحفظ التغييرات الخاصة بك.

تحديد مكوِّنات MSTICPy التي تم تحميلها تلقائيًا

يصف هذا الإجراء كيفية تحديد المكونات الأخرى التي يتم تحميلها تلقائيًا بواسطة MSTICPy عند nbinit.init_notebook تشغيل الوظيفة.

تشمل المكوِّنات المدعومة، بالترتيب التالي:

1. TILookup:مكتبة موفّر TI
2. GeoIP: موفّر GeoIP الذي ترغب في استخدامه
3. AzureData: الوحدة النمطية التي تستخدمها للاستعلام عن تفاصيل بشأن موارد Azure
4. AzureSentinelAPI: الوحدة النمطية التي تستخدمها للاستعلام عن Microsoft Sentinel API
5. دفاتر الملاحظات: دفاتر الملاحظات من الحزمة msticnb
6. Pivot: الدالات المحورية

إشعار

يتم تحميل المكونات بهذا الترتيب لأن المكون المحوري يحتاج إلى الاستعلام وتحميل الموفرين الآخرين للعثور على الوظائف المحورية التي يربطها بالكيانات. لمزيد من المعلومات، راجع وثائق MSTICPy.

لتحديد مكونات MSTICPy المحملة تلقائيًا:

1. انتقل إلى الخلية التالية، مع الكود التالي، وقم بتشغيلها:

   mpedit.set_tab("Autoload Components")
   mpedit
   

2. في علامة التبويب Autoload Components، حدد أي قيم معلمات حسب الاقتضاء. على سبيل المثال:

   • GeoIpLookup. قم بإدخال اسم موفر GeoIP الذي تريد استخدامه، إما GeoLiteLookup أو IPStack. لمزيد من المعلومات، راجع إضافة إعدادات موفّر GeoIP.

   • بيانات Azure ومكونات Azure Sentinel API. حدد القيم الآتية:

     • auth_methods: تجاوز الإعدادات الافتراضية لـ AzureCLI، وقم بالاتصال باستخدام الطرق المحددة.
     • الاتصال التلقائي: اضبط على "خطأ" ليتم التحميل بدون الاتصال.

     لمزيد من المعلومات، راجع تحديد معلمات المصادقة لـ Azure و Microsoft Sentinel APIs.

   • Notebooklets. يحتوي مكوِّن Notebooklets على كتلة معلمة واحدة: AzureSentinel.

     حدد مساحة عمل Microsoft Sentinel الخاصة بك باستخدام بناء الجملة التالي: workspace:\<workspace name>. يجب أن يكون اسم مساحة العمل أحد مساحات العمل المحددة في علامة التبويب Microsoft Sentinel.

     إذا كنت تريد إضافة المزيد من المعلمات لإرسالها إلى notebooklets init الوظيفة، فحددها كمفتاح: أزواج قيمة، مفصولة بأسطر جديدة. على سبيل المثال:

     workspace:<workspace name>
     providers=["LocalData","geolitelookup"]
     

     لمزيد من المعلومات، راجع وثائق MSTICNB (MSTIC Notebooklets).

   لا تتطلب بعض المكونات، مثل TILookup و Pivot، أي معلمات.

3. حدد حفظ الإعدادات لحفظ التغييرات الخاصة بك.

قم بالتبديل بين نواة Python 3.6 و3.8

إذا كنت تقوم بالتبديل بين Python 3.65 و3.8 نواة، فقد تجد أن MSTICPy والحزم الأخرى لم يتم تثبيتها كما هو متوقع.

قد يحدث هذا عندما يتم تثبيت الأمر !pip install pkg بشكل صحيح في البيئة الأولى، ولكن بعد ذلك لا يتم تثبيته بشكل صحيح في البيئة الثانية. يؤدي هذا إلى إنشاء موقف حيث لا تستطيع البيئة الثانية استيراد الحزمة أو استخدامها.

نوصي بعدم استخدامه !pip install... لتثبيت الحزم في دفاتر التعلم الآلي من Microsoft Azure. بدلاً من ذلك، استخدم أحد الخيارات التالية:

• استخدم سحر خط النسبة المئوية داخل جهاز دفتر ملاحظات. تشغيل:

  
  %pip install --upgrade msticpy
  

• التثبيت من محطة:

  1. افتح محطة طرفية في دفاتر التعلم الآلي من Microsoft Azure وقم بتشغيل الأوامر التالية:

     conda activate azureml_py38
     pip install --upgrade msticpy
     

  2. أغلق الجهاز وأعد تشغيل النواة.

قم بتعيين متغير بيئة لملف msticpyconfig.yaml الخاص بك

إذا كنت تقوم بتشغيل التعلم الآلي من Microsoft Azure وكان لديك ملف msticpyconfig.yaml في جذر مجلد المستخدم الخاص بك، فسيجد MSTICPy هذه الإعدادات تلقائيًا. ومع ذلك، إذا شغلت دفاتر الملاحظات في بيئة أخرى، فاتبع الإرشادات الواردة في هذا القسم لتعيين متغير بيئة يشير إلى موقع ملف التكوين الخاص بك.

يتيح لك تحديد المسار إلى ملف msticpyconfig.yaml في متغير بيئة تخزين الملف في موقع معروف والتأكد من أنك تقوم دائمًا بتحميل نفس الإعدادات.

استخدم ملفات التكوين المتعددة، مع متغيرات بيئة متعددة، إذا كنت تريد استخدام إعدادات مختلفة لأجهزة الكمبيوتر المحمولة المختلفة.

1. حدد موقعًا لملف msticpyconfig.yaml الخاص بك، مثل ~/.msticpyconfig.yaml أو %userprofile%/msticpyconfig.yaml.

   مستخدمو التعلم الآلي من Microsoft Azure: إذا قمت بتخزين ملف التكوين الخاص بك في مجلد مستخدم التعلم الآلي من Microsoft Azure، فستجد وظيفة init_notebook MSTICPy (التي يتم تشغيلها في خلية التهيئة) الملف وتستخدمه تلقائيًا، ولن تحتاج إلى تعيين متغير بيئة MSTICPYCONFIG.

   ومع ذلك، إذا كان لديك أيضًا بيانات سرية مخزنة في الملف، فإننا نوصي بتخزين ملف التكوين على محرك الأقراص المحلي لحساب. يمكن الوصول إلى وحدة التخزين الداخلية للحساب فقط للشخص الذي أنشأ الحساب، في حين أن التخزين المشترك يمكن الوصول إليه لأي شخص لديه حق الوصول إلى مساحة عمل التعلم الآلي من Microsoft Azure الخاصة بك.

   لمزيد من المعلومات، راجع ما هو مثيل حساب التعلم الآلي في Azure؟.

2. إذا تطلب الأمر، انسخ ملف msticpyconfig.yaml إلى موقعك المحدد.

3. عيِّن متغير البيئة MSTICPYCONFIG للإشارة إلى هذا الموقع.

استخدم أحد الإجراءات التالية لتعريف متغيّر البيئة MSTICPYCONFIG.

Windows

على سبيل المثال، لتعيين متغير البيئة MSTICPYCONFIG على أنظمة Windows:

1. انقل الملف msticpyconfig.yaml إلى مثيل الحساب في Azure حسب الحاجة.

2. افتح مربع الحوار الخاص بخصائص النظام إلى علامة التبويب خيارات متقدمة.

3. حدد متغيّرات البيئة... لفتح مربع الحوار الخاص بمتغيّرات البيئة.

4. في منطقة متغيّرات النظام، حدد جديد...، وحدد القيم كما يلي:

   • اسم المتغير: مُعرَّف باسم MSTICPYCONFIG
   • قيمة المتغير: قم بإدخال المسار إلى ملف msticpyconfig.yaml

Linux

يصف هذا الإجراء طريقة تحديث ملف .bashrc لتعيين مُتغيّر البيئة MSTICPYCONFIG على أنظمة Linux.

1. انقل الملف msticpyconfig.yaml إلى مثيل الحساب في Azure حسب الحاجة.

2. افتح terminal التعلم الآلي من Microsoft Azure، على سبيل المثال من صفحة Microsoft Sentinel Notebooks.

3. تحقق من أنه يمكنك الوصول إلى ملف msticpyconfig.yaml الخاص بك.

   في terminal التعلم الآلي من Microsoft Azure، يجب أن يكون دليلك الحالي هو الدليل الرئيسي لمخزن ملفات التعلم الآلي من Microsoft Azure، المثبت في نظام Compute Linux. تندو المطالبة مشابهة للمثال الآتي:

   azureuser@alicecontoso-azml7:~/cloudfiles/code/Users/alicecontoso$
   

   أدرج جميع الملفات في الدليل الرئيسي، بما في ذلك ملف msticpyconfig.yaml، عن طريق إدخال ls.

4. لتنقل الملف msticpyconfig.yaml إلى مخزن ملفات الحساب في Azure، أدخل:

   mv msticpyconfig.yaml ~
   

5. استخدم إحدى العمليات التالية لتُحرر ملف .bashrc لمتغيّر البيئة الخاص بك:

   الأمر	الخطوات
   vim	1. شغّل: vim ~/.bashrc 2. انتقل إلى نهاية الملف من خلال الضغط على SHIFT+G>End. 3. إنشاء خط جديد عن طريق إدخال ثم الضغط على إدخال. 4. أضف متغيّر البيئة الخاص بك ثم اضغط على ESC للعودة إلى وضع الأوامر. 5. احفظ الملف من خلال إدخال :wq.
   nano	1. شغّل: nano ~/.bashrc 1. انتقل إلى نهاية الملف واضغط على ALT+/ أو OPTION+/. 1. أضف متغير البيئة الخاص بك، ثم احفظ ملفك. اضغط على CTRL+X ثم اضغط على Y.

   أضف أحد متغيرات البيئة الآتية:

   • إذا نقلت ملف msticpyconfig.yaml، فشغِّل export MSTICPYCONFIG=~/msticpyconfig.yaml.
   • إذا لم تنقل ملف msticpyconfig.yaml، فشغِّل export MSTICPYCONFIG=~/cloudfiles/code/Users/<YOURNAME>/msticpyconfig.yaml.

خيارات التعلم الآلي من Microsoft Azure

إذا كنت تحتاج إلى تخزين ملف msticpyconfig.yaml في مكان آخر غير مجلد مستخدم التعلم الآلي من Microsoft Azure، فاستخدم أحد الخيارات التالية:

• ملف nbuser_settings.py في جِذر مُجلد المستخدم. على الرغم من أن هذه العملية أبسط وأقل تدخلاً من تحرير ملف kernel.json، إلا أنها مدعومة فقط عند تشغيل init_notebookالوظيفة في بداية التعليمة البرمجية لدفتر ملاحظاتك. في حين أن هذا هو السلوك الافتراضي، إذا قمت بتشغيل التعليمة البرمجية لدفتر الملاحظات دون تشغيله أولاًinit_notebook، فقد لا يتمكن MSTICPy من العثور على ملف التكوين.

  1. في الوحدة الطرفية للتعلم الآلي من Microsoft Azure، أنشئ ملف nbuser_settings.py في جذر مجلد المستخدم الخاص بك، وهو المجلد الذي يحتوي على اسم المستخدم الخاص بك.

  2. في ملف nbuser_settings.py، أضف الخطوط التالية:

       import os
       os.environ["MSTICPYCONFIG"] = "~/msticpyconfig.yaml"
     

  يتم استيراد هذا الملف تلقائيًا بواسطة init_notebookالوظيفة، وتعيين MSTICPYCONFIGمتغيّر البيئة لدفتر الملاحظات الحالي.

• ملفkernel.json الخاص بنواة Python. استخدم هذا الإجراء إذا كنت تخطط لتشغيل الكمبيوتر المحمول يدويًا، وربما بدون استدعاء init_notebook الوظيفة في البداية.

  توجد نواة لكل من Python 3.6 وPython3.8. إذا كنت تستخدم كلا النواة، فحرر كلا الملفين.

  • موقع Python 3.8: /usr/local/share/jupyter/kernels/python38-azureml/kernel.json
  • موقع Python 3.6: /usr/local/share/jupyter/kernels/python3-azureml/kernel.json

  لتعيين متغير البيئة في ملف kernel.json:

  1. انسخ نسخة من ملف kernel.json وافتح النسخة الأصلية في محرر. قد تحتاج إلى استخدامه للكتابة فوق sudo ملف kernel.json، ومحتويات الملف تبدو مشابهة للمثال التالي:

     {
        "argv": [
        "/anaconda/envs/azureml_py38/bin/python",
        "-m",
        "ipykernel_launcher",
        "-f",
        "{connection_file}"
        ],
        "display_name": "Python 3.8 - AzureML",
        "language": "python"
     }
     

  2. بعد العنصر، "language"أضف الخط التالي: "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }

     تأكد من إضافة الفاصلة في نهاية "language": "python" الخط. على سبيل المثال:

     {
         "argv": [
         "/anaconda/envs/azureml_py38/bin/python",
         "-m",
         "ipykernel_launcher",
         "-f",
         "{connection_file}"
         ],
         "display_name": "Python 3.8 - AzureML",
         "language": "python",
         "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
     }
     

إشعار

بالنسبة لخيارات نظم التشغيل Linux وWindows، ستحتاج إلى إعادة تشغيل خادم Jupyter الخاص بك لالتقاط متغيّر البيئة الذي حددته.

الخطوات التالية

لمزيد من المعلومات، راجع:

موضوع	مزيد من المراجع
MSTICPy	- تكوين حزمة MSTICPy - محرر إعدادات MSTICPy - تكوين بيئة دفتر الملاحظات الخاص بك. - MPSettingsEditor notebook. ملاحظة: يحتوي GitHub repo على Azure-Sentinel-Notebooks أيضًا ملف قالب msticpyconfig.yamlمع أقسام التعليق، والتي قد تساعدك على فهم الإعدادات.
دفاتر Microsoft Sentinel وJupyter	- أنشئ أول دفتر ملاحظات Microsoft Sentinel (سلسلة المدونات) - دفاتر ملاحظات Jupyter: مقدمة - وثائق MSTICPy - وثائق Microsoft Sentinel Notebooks - كتاب Infosec Jupyterbook - شرح Linux Host Explorer Notebook - سبب استخدام Jupyter لتحقيقات الأمان - تحقيقات الأمان مع دفاتر ملاحظات Microsoft Sentinel - وثائق Pandas - وثائق Bokeh