Začínáme s poznámkovými bloky Jupyter a MSTICPy v Microsoft Sentinel

Tento článek popisuje, jak spustit příručku Začínáme pro poznámkové bloky ML Microsoft Sentinel, která nastavuje základní konfigurace pro spouštění poznámkových bloků Jupyter v Microsoft Sentinelu a poskytuje příklady pro spouštění jednoduchých dotazů.

Příručka Začínáme pro poznámkové bloky ML služby Microsoft Sentinel používá MSTICPy, silnou knihovnu Pythonu navrženou k vylepšení vyšetřování zabezpečení a proaktivního vyhledávání hrozeb v poznámkových blocích služby Microsoft Sentinel. Poskytuje integrované nástroje pro rozšiřování dat, vizualizaci, detekci anomálií a automatizované dotazy a pomáhá analytikům zjednodušit pracovní postup bez rozsáhlého vlastního kódování.

Další informace najdete v tématu Použití poznámkových bloků k vyšetřování apoužití poznámkových bloků Jupyter k vyhledávání bezpečnostních hrozeb.

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu, včetně pro zákazníky bez licence Microsoft Defender XDR nebo E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

Než začnete, ujistěte se, že máte požadovaná oprávnění a prostředky.

Předpoklad	Popis
Oprávnění	Pokud chcete používat poznámkové bloky v Microsoft Sentinelu, ujistěte se, že máte požadovaná oprávnění. Další informace najdete v tématu Správa přístupu k poznámkovému bloku Microsoft Sentinelu.
Krajta	K provedení kroků v tomto článku potřebujete Python 3.6 nebo novější. Ve službě Azure Machine Learning můžete použít buď jádro Pythonu 3.8 (doporučeno), nebo jádro Pythonu 3.6. Pokud používáte poznámkový blok popsaný v tomto článku v jiném prostředí Jupyter, můžete použít jakékoli jádro, které podporuje Python 3.6 nebo novější. Pokud chcete používat poznámkové bloky MSTICPy mimo Microsoft Sentinel a Azure Machine Learning (ML), musíte také nakonfigurovat prostředí Pythonu. Nainstalujte Python 3.6 nebo novější s distribucí Anaconda, která obsahuje mnoho požadovaných balíčků.
MaxMind GeoLite2	Tento poznámkový blok používá vyhledávací službu geolokace MaxMind GeoLite2 pro IP adresy. Pokud chcete použít službu MaxMind GeoLite2, potřebujete licenční klíč. Na registrační stránce Maxmind si můžete zaregistrovat bezplatný účet a klíč.
VirusTotal	Tento poznámkový blok používá VirusTotal (VT) jako zdroj analýzy hrozeb. Pokud chcete použít vyhledávání analýzy hrozeb VirusTotal, potřebujete účet VirusTotal a klíč rozhraní API. Pokud používáte podnikový klíč VT, uložte ho do služby Azure Key Vault místo souboru msticpyconfig.yaml . Další informace naleznete v tématu Určení tajných kódů jako tajemství služby Key Vault v dokumentaci MSTICPY. Pokud teď nechcete nastavit službu Azure Key Vault, zaregistrujte si bezplatný účet a použijte ho, dokud nebudete moct nastavit úložiště služby Key Vault.

Instalace a spuštění poznámkového bloku Příručka Začínáme

Tento postup popisuje, jak spustit poznámkový blok s Microsoft Sentinel.

1. Pro Microsoft Sentinel na portálu Defender vyberte Microsoft Sentinel>Správa hrozeb>Poznámkové bloky. Pro Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte Poznámkové bloky.

2. Na kartě Šablony vyberte Příručku Začínáme pro poznámkové bloky ML služby Microsoft Sentinel .

3. Vyberte Vytvořit ze šablony.

4. Podle potřeby upravte název a vyberte pracovní prostor Azure Machine Learning.

5. Výběrem možnosti Uložit ho uložte do pracovního prostoru služby Azure Machine Learning.

6. Výběrem možnosti Spustit poznámkový blok spusťte poznámkový blok. Poznámkový blok obsahuje řadu buněk:

   • Buňky Markdownu obsahují text a grafiku s pokyny pro použití poznámkového bloku.
   • Buňky kódu obsahují spustitelný kód, který provádí funkce poznámkového bloku.

7. V horní části stránky vyberte výpočetní prostředky.

8. Pokračujte čtením buněk markdownu a spouštěním buněk kódu v pořadí podle pokynů v poznámkovém bloku. Přeskočení buněk nebo jejich spuštění mimo pořadí může později v poznámkovém bloku způsobit chyby.

   V závislosti na prováděné funkci může kód v buňce běžet rychle nebo dokončení může nějakou dobu trvat. Když je buňka spuštěná, tlačítko přehrát se změní na číselník načítání a stav se zobrazí v dolní části buňky spolu s uplynulým časem.

   Při prvním spuštění buňky kódu může spuštění relace v závislosti na nastavení výpočetních prostředků trvat několik minut. Když je poznámkový blok připravený ke spuštění buněk kódu, zobrazí se indikace připravenosti . Například:

   

Notebook Průvodce Začínáme s Poznámkovými bloky ML pro Microsoft Sentinel obsahuje sekce pro následující aktivity:

Název	Popis
Úvod	Popište základy poznámkového bloku a poskytuje vzorový kód, který můžete spustit, abyste viděli, jak poznámkové bloky fungují.
Inicializace poznámkového bloku a MSTICPy	Pomůže vám připravit prostředí ke spuštění zbytku poznámkového bloku. Při inicializaci poznámkového bloku se očekávají konfigurační upozornění týkající se chybějících nastavení, protože jste ještě nic nenakonfigurovali.
Dotazování dat z Microsoft Sentinelu	Pomáhá ověřovat, konfigurovat a testovat nastavení služby Microsoft Sentinel. Kód v této části použijte k ověření ve službě Microsoft Sentinel a spuštění ukázkového dotazu pro otestování připojení.
Konfigurace a testování externích poskytovatelů dat (VirusTotal a Maxmind GeoLite2)	Pomáhá nakonfigurovat nastavení pro VirusTotal jako ukázkovou službu analýzy hrozeb a MaxMind GeoLite2 jako ukázkovou vyhledávací službu geografického umístění. Pomocí kódu v této části spusťte ukázkové dotazy na tyto zprostředkovatele dat a otestujte je.

Kód v příručce Začínáme pro poznámkové bloky ML služby Microsoft Sentinel spustí nástroj MpConfigEdit , který obsahuje řadu karet pro konfiguraci prostředí poznámkového bloku. Při provádění změn v nástroji MpConfigEdit nezapomeňte změny před pokračováním uložit. Nastavení poznámkového bloku se uloží do souboru msticpyconfig.yaml , který se automaticky vyplní počátečními podrobnostmi pro váš pracovní prostor.

Pečlivě si pročtěte buňky markdownu, abyste celý proces pochopili, včetně všech nastavení a souboru msticpyconfig.yaml . Další kroky, dodatečné zdroje a často kladené dotazy z wiki Azure Sentinel Notebooks jsou propojeny na konci poznámkového bloku.

Přizpůsobení dotazů (volitelné)

Příručka Začínáme s poznámkovými bloky ML služby Microsoft Sentinel obsahuje ukázkové dotazy, které můžete využít k učení se o poznámkových blocích. Přizpůsobte předdefinované dotazy přidáním další logiky dotazu nebo spuštěním úplných dotazů pomocí exec_query funkce. Například většina předdefinovaných dotazů podporuje add_query_items parametr, který můžete použít k připojení filtrů nebo jiných operací k dotazům.

1. Spuštěním následující buňky kódu přidejte datový rámec, který shrnuje počet výstrah podle názvu výstrahy:

   from datetime import datetime, timedelta
   
   qry_prov.SecurityAlert.list_alerts(
      start=datetime.utcnow() - timedelta(28),
       end=datetime.utcnow(),
       add_query_items="| summarize NumAlerts=count() by AlertName"
   )
   

2. Předejte úplný řetězec dotazu v jazyce Kusto Query Language (KQL) zprostředkovateli dotazu. Dotaz se spustí v připojeném pracovním prostoru a data se vrátí jako datový rámec panda. Běh:

   # Define your query
   test_query = """
   OfficeActivity
   | where TimeGenerated > ago(1d)
   | take 10
   """
   
   # Pass the query to your QueryProvider
   office_events_df = qry_prov.exec_query(test_query)
   display(office_events_df.head())
   
   

Další informace najdete tady:

• Referenční informace k dotazu MSTICPy
• Spouštění předdefinovaných dotazů MSTICPy

Použití pokynů pro jiné poznámkové bloky

Kroky v tomto článku popisují, jak spustit příručku Začínáme pro poznámkové bloky ML služby Microsoft Sentinel v pracovním prostoru služby Azure Machine Learning prostřednictvím služby Microsoft Sentinel. Tento článek můžete použít také jako doprovodné materiály k provádění podobných kroků pro spouštění poznámkových bloků v jiných prostředích, včetně místního prostředí.

Některé poznámkové bloky Microsoft Sentinelu nepoužívají MSTICPy, například poznámkové bloky Skeneru přihlašovacích údajů nebo příklady PowerShell a C#. Poznámkové bloky, které nepoužívají MSTICpy, nepotřebují konfiguraci MSTICPy popsanou v tomto textu.

Vyzkoušejte další poznámkové bloky od Microsoft Sentinelu, jako například:

• Konfigurace prostředí poznámkového bloku
• Prohlídka funkcí poznámkového bloku Cybersec
• Příklady strojového učení v poznámkových blocích
• Řada Entity Explorer , včetně variant účtů, domén a adres URL, IP adres a hostitelů s Linuxem nebo Windows.

Další informace najdete tady:

• Poznámkové bloky Jupyter se schopnostmi pro vyhledávání v Microsoft Sentinelu
• Pokročilé konfigurace pro poznámkové bloky Jupyter a MSTICPy v Microsoft Sentinelu
• Vytvoření prvního poznámkového bloku Microsoft Sentinelu (řada blogů)
• Průvodce poznámkovým blokem Linux Host Explorer (blog)

Související obsah

Další informace najdete tady:

• Dokumentace k MSTICPy
• Poznámkové bloky Jupyter: Úvod
• The Infosec Jupyterbook
• Proč používat Jupyter pro vyšetřování zabezpečení
• Vyšetřování zabezpečení s využitím Microsoft Sentinelu a poznámkových bloků