Pokročilé konfigurace pro poznámkové bloky Jupyter a MSTICPy v Microsoft Sentinelu

Tento článek popisuje pokročilé konfigurace pro práci s poznámkovými bloky Jupyter a MSTICPy v Microsoft Sentinelu.

Další informace najdete v tématu Použití poznámkových bloků Jupyter k vyhledávání bezpečnostních hrozeb a kurzu: Začínáme s poznámkovými bloky Jupyter a MSTICPy v Microsoft Sentinelu.

Požadavky

Tento článek je pokračováním kurzu : Začínáme s poznámkovými bloky Jupyter a MSTICPy v Microsoft Sentinelu. Než budete pokračovat v pokročilých postupech popsaných níže, doporučujeme tento kurz provést.

Zadání parametrů ověřování pro rozhraní API služby Azure a Microsoft Sentinel

Tento postup popisuje, jak nakonfigurovat parametry ověřování pro Microsoft Sentinel a další prostředky rozhraní Azure API v souboru msticpyconfig.yaml .

Přidání ověřování Azure a nastavení rozhraní API služby Microsoft Sentinel v editoru nastavení MSTICPy:

1. Přejděte k další buňce s následujícím kódem a spusťte ji:

   mpedit.set_tab("Data Providers")
   mpedit
   

2. Na kartě Zprostředkovatel dat s vyberte Přidat AzureCLI>.

3. Vyberte metody ověřování, které chcete použít:

   • I když můžete použít jinou sadu metod z výchozích hodnot Azure, nejedná se o typickou konfiguraci.
   • Pokud nechcete použít ověřování env (proměnná prostředí), nechejte pole clientId, tenantiId a clientSecret prázdná.
   • I když se nedoporučuje, MSTICPy také podporuje použití ID a tajných kódů klientských aplikací pro vaše ověřování. V takových případech definujte pole clientId, tenantId a clientSecret přímo na kartě Zprostředkovatel dat s.

4. Výběrem možnosti Uložit soubor uložte provedené změny.

Definování zprostředkovatelů automatického načítání dotazů

Definujte všechny zprostředkovatele dotazů, které chcete MSTICPy načíst automaticky při spuštění nbinit.init_notebook funkce.

Když často vytváříte nové poznámkové bloky, může vám automatické načítání zprostředkovatelů dotazů ušetřit čas tím, že zajistíte načtení požadovaných zprostředkovatelů před dalšími součástmi, jako jsou kontingenční funkce a poznámkové bloky.

Přidání zprostředkovatelů automatického načítání dotazů:

1. Přejděte k další buňce s následujícím kódem a spusťte ji:

   mpedit.set_tab("Autoload QueryProvs")
   mpedit
   

2. Na kartě Automatické načítání QueryProv :

   • U poskytovatelů Služby Microsoft Sentinel zadejte název zprostředkovatele i název pracovního prostoru, ke kterému se chcete připojit.
   • U jiných zprostředkovatelů dotazů zadejte pouze název zprostředkovatele.

   Každý zprostředkovatel má také následující volitelné hodnoty:

   • Automatické připojení: Tato možnost je ve výchozím nastavení definována jako True a MSTICPy se pokusí ověřit u poskytovatele ihned po načtení. MSTICPy předpokládá, že jste v nastavení nakonfigurovali přihlašovací údaje pro zprostředkovatele.

   • Alias: Když MSTICPy načte zprostředkovatele, přiřadí zprostředkovateli k názvu proměnné Pythonu. Ve výchozím nastavení je název proměnné qryworkspace_name pro poskytovatele Služby Microsoft Sentinel a qryprovider_name pro ostatní zprostředkovatele.

     Pokud například načtete zprostředkovatele dotazů pro pracovní prostor ContosoSOC , vytvoří se tento zprostředkovatel dotazu ve vašem prostředí poznámkového bloku s názvem qry_ContosoSOC. Pokud chcete použít něco kratšího nebo jednoduššího, přidejte alias a zapamatujte si ho. Název proměnné zprostředkovatele bude qry_<alias>nahrazen <alias> názvem aliasu, který jste zadali.

     Zprostředkovatelé, které načítáte tímto mechanismem, se také přidají do atributu MSTICPy current_providers , který se používá například v následujícím kódu:

     import msticpy
     msticpy.current_providers
     

3. Výběrem možnosti Uložit Nastavení uložte provedené změny.

Definování automaticky načtených komponent MSTICPy

Tento postup popisuje, jak definovat další komponenty, které jsou automaticky načteny msTICPy při spuštění nbinit.init_notebook funkce.

Mezi podporované komponenty patří následující pořadí:

1. TILookup:Knihovna zprostředkovatele TI
2. GeoIP: Poskytovatel GeoIP, kterého chcete použít
3. AzureData: Modul, který používáte k dotazování podrobností o prostředcích Azure
4. AzureSentinelAPI: Modul, který používáte k dotazování rozhraní API služby Microsoft Sentinel
5. Poznámkové bloky: Poznámkové bloky z balíčku msticnb
6. Pivot: Kontingenční funkce

Poznámka:

Komponenty se načítají v tomto pořadí, protože kontingenční komponenta potřebuje dotaz a další zprostředkovatelé načtené k vyhledání kontingenčních funkcí, které se připojují k entitám. Další informace naleznete v dokumentaci MSTICPy.

Definování automaticky načtených komponent MSTICPy:

1. Přejděte k další buňce s následujícím kódem a spusťte ji:

   mpedit.set_tab("Autoload Components")
   mpedit
   

2. Na kartě Součásti automatického načítání definujte hodnoty parametrů podle potřeby. Příklad:

   • GeoIpLookup. Zadejte název zprostředkovatele GeoIP, kterého chcete použít, buď GeoLiteLookup , nebo IPStack. Další informace najdete v tématu Přidání nastavení zprostředkovatele GeoIP.

   • Komponenty AzureData a AzureSentinelAPI Definujte následující hodnoty:

     • auth_methods: Přepište výchozí nastavení pro AzureCLI a připojte se pomocí vybraných metod.
     • Automatické připojení: Nastavte hodnotu false, aby se načetla bez připojení.

     Další informace najdete v tématu Zadání parametrů ověřování pro rozhraní API služby Azure a Microsoft Sentinel.

   • Poznámkové bloky. Komponenta Notebooklets má jeden blok parametrů: AzureSentinel.

     Pomocí následující syntaxe zadejte pracovní prostor Služby Microsoft Sentinel: workspace:\<workspace name>. Název pracovního prostoru musí být jeden z pracovních prostorů definovaných na kartě Microsoft Sentinel .

     Pokud chcete do funkce přidat další parametry notebooklets init , zadejte je jako páry klíč:hodnota oddělené novými spojnicemi. Příklad:

     workspace:<workspace name>
     providers=["LocalData","geolitelookup"]
     

     Další informace najdete v dokumentaci MSTICNB (MSTIC Notebooklets).

   Některé komponenty, jako je TILookup a Pivot, nevyžadují žádné parametry.

3. Výběrem možnosti Uložit Nastavení uložte provedené změny.

Přepínání mezi jádry Pythonu 3.6 a 3.8

Pokud přecházíte mezi jádry Pythonu 3.65 a 3.8, můžete zjistit, že msTICPy a další balíčky se nenainstalují podle očekávání.

K tomu může dojít, když se !pip install pkg příkaz správně nainstaluje v prvním prostředí, ale pak se nenainstaluje správně ve druhém prostředí. Tím se vytvoří situace, kdy druhé prostředí nemůže importovat nebo používat balíček.

Doporučujeme neinstalovat !pip install... balíčky do poznámkových bloků Azure ML. Místo toho použijte jednu z následujících možností:

• Použijte magické čáry %pip v poznámkovém bloku. Run (Spuštění):

  
  %pip install --upgrade msticpy
  

• Instalace z terminálu:

  1. Otevřete terminál v poznámkových blocích Azure ML a spusťte následující příkazy:

     conda activate azureml_py38
     pip install --upgrade msticpy
     

  2. Zavřete terminál a restartujte jádro.

Nastavení proměnné prostředí pro soubor msticpyconfig.yaml

Pokud používáte Azure ML a máte soubor msticpyconfig.yaml v kořenové složce uživatele, MSTICPy tato nastavení automaticky najde. Pokud ale poznámkové bloky spouštíte v jiném prostředí, nastavte podle pokynů v této části proměnnou prostředí, která odkazuje na umístění konfiguračního souboru.

Definování cesty k souboru msticpyconfig.yaml v proměnné prostředí umožňuje uložit soubor do známého umístění a zajistit, abyste vždy načetli stejná nastavení.

Pokud chcete pro různé poznámkové bloky použít různá nastavení, použijte několik konfiguračních souborů s více proměnnými prostředí.

1. Rozhodněte se o umístění souboru msticpyconfig.yaml , například v souboru ~/.msticpyconfig.yaml nebo %userprofile%/msticpyconfig.yaml.

   Uživatelé Azure ML: Pokud konfigurační soubor uložíte do složky uživatele Azure ML, funkce MSTICPy init_notebook (spuštěná v buňce inicializace) automaticky najde a použije soubor a není nutné nastavit proměnnou prostředí MSTICPYCONFIG .

   Pokud ale máte v souboru uložené i tajné kódy, doporučujeme konfigurační soubor uložit na výpočetní místní disk. Interní výpočetní úložiště je přístupné jenom osobě, která výpočetní prostředky vytvořila, zatímco sdílené úložiště je přístupné komukoli, kdo má přístup k vašemu pracovnímu prostoru Azure ML.

   Další informace najdete v tématu Co je výpočetní instance azure machine Učení?.

2. V případě potřeby zkopírujte soubor msticpyconfig.yaml do vybraného umístění.

3. Nastavte proměnnou prostředí MSTICPYCONFIG tak, aby odkazovat na toto umístění.

K definování proměnné prostředí MSTICPYCONFIG použijte jeden z následujících postupů.

Windows

Pokud chcete například nastavit proměnnou prostředí MSTICPYCONFIG v systémech Windows:

1. Podle potřeby přesuňte soubor msticpyconfig.yaml do výpočetní instance.

2. Otevřete dialogové okno Vlastnosti systému na kartě Upřesnit.

3. Výběrem možnosti Proměnné prostředí... otevřete dialogové okno Proměnné prostředí.

4. V oblasti Systémové proměnné vyberte Nový... a definujte hodnoty následujícím způsobem:

   • Název proměnné: Definovat jako MSTICPYCONFIG
   • Hodnota proměnné: Zadejte cestu k souboru msticpyconfig.yaml .

Linux

Tento postup popisuje, jak aktualizovat soubor .bashrc tak, aby nastavil proměnnou prostředí MSTICPYCONFIG v systémech Linux.

1. Podle potřeby přesuňte soubor msticpyconfig.yaml do výpočetní instance.

2. Otevřete terminál Azure ML, například na stránce Poznámkové bloky Microsoft Sentinelu.

3. Ověřte, že máte přístup k souboru msticpyconfig.yaml .

   V terminálu Azure ML by váš aktuální adresář měl být domovský adresář úložiště souborů Azure ML připojený k systému Compute Linux. Výzva vypadá podobně jako v následujícím příkladu:

   azureuser@alicecontoso-azml7:~/cloudfiles/code/Users/alicecontoso$
   

   Vypište všechny soubory v domovském adresáři, včetně souboru msticpyconfig.yaml zadáním ls.

4. Pokud chcete přesunout soubor msticpyconfig.yaml do úložiště souborů Compute, zadejte:

   mv msticpyconfig.yaml ~
   

5. K úpravě souboru .bashrc pro proměnnou prostředí použijte jeden z následujících procesů:

   Příkaz	Kroky
   Vim	1. Spusťte: vim ~/.bashrc 2. Přejděte na konec souboru stisknutím kombinace kláves SHIFT+G>End. 3. Vytvořte nový řádek zadáním klávesy ENTER a stisknutím klávesy ENTER. 4. Přidejte proměnnou prostředí a stisknutím klávesy ESC se vraťte do režimu příkazů. 5. Uložte soubor zadáním :wq.
   Nano	1. Spusťte: nano ~/.bashrc 1. Přejděte na konec souboru stisknutím kláves ALT+/ nebo OPTION+/. 1. Přidejte proměnnou prostředí a pak soubor uložte. Stiskněte ctrl+X a pak Y.

   Přidejte jednu z následujících proměnných prostředí:

   • Pokud jste přesunuli soubor msticpyconfig.yaml , spusťte export MSTICPYCONFIG=~/msticpyconfig.yaml.
   • Pokud jste soubor msticpyconfig.yaml nepřesunuli, spusťte export MSTICPYCONFIG=~/cloudfiles/code/Users/<YOURNAME>/msticpyconfig.yamlpříkaz .

Možnosti Azure ML

Pokud potřebujete uložit soubor msticpyconfig.yaml někam jinam než do uživatelské složky Azure ML, použijte jednu z následujících možností:

• Soubor nbuser_settings.py v kořenové složce uživatele. I když je tento proces jednodušší a méně rušivý než úprava souboru kernel.json , podporuje se pouze při spuštění init_notebook funkce na začátku kódu poznámkového bloku. I když se jedná o výchozí chování, pokud spustíte kód poznámkového bloku bez prvního spuštění init_notebook, MSTICPy nemusí být schopen najít konfigurační soubor.

  1. V terminálu Azure ML vytvořte soubor nbuser_settings.py v kořenové složce uživatele, což je složka s vaším uživatelským jménem.

  2. Do souboru nbuser_settings.py přidejte následující řádky:

       import os
       os.environ["MSTICPYCONFIG"] = "~/msticpyconfig.yaml"
     

  Tento soubor se automaticky naimportuje init_notebook funkcí a nastaví MSTICPYCONFIG proměnnou prostředí pro aktuální poznámkový blok.

• Soubor kernel.json pro jádro Pythonu. Tento postup použijte, pokud plánujete spustit poznámkový blok ručně a případně bez volání init_notebook funkce na začátku.

  Existují jádra pro Python 3.6 a Python 3.8. Pokud používáte obě jádra, upravte oba soubory.

  • Umístění Pythonu 3.8: /usr/local/share/jupyter/kernels/python38-azureml/kernel.json
  • Umístění Pythonu 3.6: /usr/local/share/jupyter/kernels/python3-azureml/kernel.json

  Nastavení proměnné prostředí v souboru kernel.json :

  1. Vytvořte kopii souboru kernel.json a otevřete původní soubor v editoru. Možná budete muset použít sudo k přepsání souboru kernel.json a obsah souboru bude vypadat podobně jako v následujícím příkladu:

     {
        "argv": [
        "/anaconda/envs/azureml_py38/bin/python",
        "-m",
        "ipykernel_launcher",
        "-f",
        "{connection_file}"
        ],
        "display_name": "Python 3.8 - AzureML",
        "language": "python"
     }
     

  2. "language" Za položku přidejte následující řádek:"env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }

     Nezapomeňte na konec řádku přidat čárku "language": "python" . Příklad:

     {
         "argv": [
         "/anaconda/envs/azureml_py38/bin/python",
         "-m",
         "ipykernel_launcher",
         "-f",
         "{connection_file}"
         ],
         "display_name": "Python 3.8 - AzureML",
         "language": "python",
         "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
     }
     

Poznámka:

V případě možností Pro Linux a Windows budete muset restartovat server Jupyter, aby se vybrala proměnná prostředí, kterou jste definovali.

Další kroky

Další informace naleznete v tématu:

Předmět	Další odkazy
MSTICPy	- Konfigurace balíčku MSTICPy - Editor Nastavení MSTICPy - Konfigurace prostředí poznámkového bloku - Poznámkový blok MP Nastavení Editor Poznámka: Úložiště Azure-Sentinel-Notebooks na GitHubu obsahuje také soubor msticpyconfig.yaml se zakomentovanými oddíly, které vám můžou pomoct pochopit nastavení.
Poznámkové bloky Microsoft Sentinel a Jupyter	- Vytvoření prvního poznámkového bloku Microsoft Sentinelu (řada blogů) - Poznámkové bloky Jupyter: Úvod - Dokumentace k MSTICPy - Dokumentace ke službě Microsoft Sentinel Notebooks - The Infosec Jupyterbook - Názorný postup poznámkového bloku Průzkumníka hostitelů s Linuxem - Proč používat Jupyter pro vyšetřování zabezpečení - Vyšetřování zabezpečení s využitím Microsoft Sentinelu a poznámkových bloků - Dokumentace k knihovně Pandas - Dokumentace k bokeh