Pokročilé konfigurace pro poznámkové bloky Jupyter a MSTICPy v Microsoft Sentinelu

Tento článek popisuje pokročilé konfigurace pro práci s poznámkovými bloky Jupyter a MSTICPy v Microsoft Sentinelu.

Další informace najdete v tématu Použití poznámkových bloků Jupyter k vyhledávání bezpečnostních hrozeb a začínáme s poznámkovými bloky Jupyter a MSTICPy v Microsoft Sentinelu.

Požadavky

Tento článek je pokračováním práce s poznámkovými bloky Jupyter a MSTICPy v Microsoft Sentinelu. Než budete pokračovat v pokročilých postupech popsaných v tomto článku, doporučujeme tento kurz provést.

Zadání parametrů ověřování pro rozhraní API služby Azure a Microsoft Sentinel

Tento postup popisuje, jak nakonfigurovat parametry ověřování pro Microsoft Sentinel a další prostředky rozhraní Azure API v souboru msticpyconfig.yaml .

Přidat ověřování Azure a nastavení API Microsoft Sentinel do editoru nastavení MSTICPy:

1. Přejděte k další buňce s následujícím kódem a spusťte ji:

   mpedit.set_tab("Data Providers")
   mpedit
   

2. Na kartě Zprostředkovatelé dat vyberte AzureCLI>Přidat.

3. Vyberte metody ověřování, které chcete použít:

   • I když můžete použít jinou sadu metod než výchozí nastavení, nejedná se o typickou konfiguraci. Další informace najdete v příručce Začínáme pro poznámkové bloky Azure Sentinel ML.
   • Pokud nechcete používat ověřování pomocí env (proměnné prostředí), ponechte pole clientId, tenantId a clientSecret prázdná.
   • I když se nedoporučuje, MSTICPy také podporuje použití ID a tajných kódů klientských aplikací pro vaše ověřování. V takových případech definujte pole clientId, tenantId a clientSecret přímo na záložce Zprostředkovatelé dat.

4. Výběrem možnosti Uložit soubor uložte provedené změny.

Definujte zprostředkovatele automatického načítání dotazů

Definujte všechny zprostředkovatele dotazů, které chcete, aby MSTICPy při spuštění funkce nbinit.init_notebook načetl automaticky.

Když často vytváříte nové poznámkové bloky, může vám automatické načítání zprostředkovatelů dotazů ušetřit čas tím, že zajistíte načtení požadovaných zprostředkovatelů před dalšími součástmi, jako jsou kontingenční funkce a poznámkové bloky.

Přidat poskytovatele automatického načítání dotazů:

1. Přejděte k další buňce s následujícím kódem a spusťte ji:

   mpedit.set_tab("Autoload QueryProvs")
   mpedit
   

2. Na záložce Automatické načítání QueryProv:

   • U poskytovatelů Služby Microsoft Sentinel zadejte název zprostředkovatele i název pracovního prostoru, ke kterému se chcete připojit.
   • U jiných zprostředkovatelů dotazů zadejte pouze název zprostředkovatele.

   Každý zprostředkovatel má také následující volitelné hodnoty:

   • Automatické připojení: Tato možnost je ve výchozím nastavení definována jako True a MSTICPy se pokusí ověřit u poskytovatele ihned po načtení. MSTICPy předpokládá, že jste v nastavení nakonfigurovali přihlašovací údaje pro zprostředkovatele.

   • Alias: Když MSTICPy načte zprostředkovatele, přiřadí zprostředkovateli jako název proměnné Pythonu. Ve výchozím nastavení je název proměnné qryworkspace_name pro poskytovatele Služby Microsoft Sentinel a qryprovider_name pro ostatní zprostředkovatele.

     Pokud například načtete zprostředkovatele dotazu pro pracovní prostor ContosoSOC, vytvoří se tento zprostředkovatel dotazu v prostředí poznámkového bloku s názvem qry_ContosoSOC. Pokud chcete použít něco kratšího nebo jednoduššího, přidejte alias a zapamatujte si ho. Název proměnné zprostředkovatele je qry_<alias>, kde <alias> se nahradí názvem aliasu, který jste zadali.

     Zprostředkovatelé, které načítáte tímto mechanismem, se také přidají do atributu MSTICPy current_providers, který se používá například v následujícím kódu:

     import msticpy
     msticpy.current_providers
     

3. Výběrem možnosti Uložit nastavení uložte provedené změny.

Definujte automaticky načtené komponenty MSTICPy

Tento postup popisuje, jak definovat další komponenty, které jsou automaticky načteny msTICPy při spuštění nbinit.init_notebook funkce.

Mezi podporované komponenty patří následující pořadí:

1. TILookup: Knihovna poskytovatele TI, kterou chcete použít
2. GeoIP: Poskytovatel GeoIP, kterého chcete použít
3. AzureData: Modul, který používáte k dotazování podrobností o prostředcích Azure
4. AzureSentinelAPI: Modul, který používáte k dotazování rozhraní API služby Microsoft Sentinel
5. Poznámkové bloky: Poznámkové bloky z balíčku msticnb
6. Pivot: Funkce pro datovou analýzu

Komponenty se načítají v tomto pořadí, protože Pivot komponenta potřebuje mít načtené dotazy a další poskytovatele, aby našla kontingenční funkce, které připojuje k entitám. Další informace naleznete v dokumentaci MSTICPy. Další informace najdete v příručce Začínáme pro poznámkové bloky Azure Sentinel ML.

Definovat automaticky načtené komponenty MSTICPy:

1. Přejděte k další buňce s následujícím kódem a spusťte ji:

   mpedit.set_tab("Autoload Components")
   mpedit
   

2. Na kartě Součásti automatického načítání definujte hodnoty parametrů podle potřeby. Příklad:

   • GeoIpLookup. Zadejte název zprostředkovatele GeoIP, kterého chcete použít, buď GeoLiteLookup , nebo IPStack.

   • Komponenty AzureData a AzureSentinelAPI Definujte následující hodnoty:

     • auth_methods: Přepište výchozí nastavení pro AzureCLI a připojte se pomocí vybraných metod.
     • Automatické připojení: Nastavte hodnotu false, aby se načetla bez připojení.

     Další informace najdete v tématu Zadání parametrů ověřování pro rozhraní API služby Azure a Microsoft Sentinel.

   • Notebooklets. Komponenta Notebooklets má jeden blok parametrů: AzureSentinel.

     Pomocí následující syntaxe zadejte pracovní prostor Služby Microsoft Sentinel: workspace:\<workspace name>. Název pracovního prostoru musí být jeden z pracovních prostorů definovaných na kartě Microsoft Sentinel .

     Pokud chcete do funkce přidat další parametry notebooklets init , zadejte je jako páry klíč:hodnota oddělené novými spojnicemi. Příklad:

     workspace:<workspace name>
     providers=["LocalData","geolitelookup"]
     

     Další informace najdete v dokumentaci MSTICNB (MSTIC Notebooklets).

   Některé komponenty, jako je TILookup a Pivot, nevyžadují žádné parametry.

3. Výběrem možnosti Uložit nastavení uložte provedené změny.

Přepínání mezi jádry Pythonu 3.6 a 3.8

Pokud přepínáte mezi jádry Pythonu 3.65 a 3.8, můžete zjistit, že MSTICPy a další balíčky se nenainstalují podle očekávání.

K tomu může dojít, když se !pip install pkg příkaz správně nainstaluje v prvním prostředí, ale pak se nenainstaluje správně ve druhém prostředí. Tím se vytvoří situace, kdy druhé prostředí nemůže importovat nebo používat balíček.

Doporučujeme nepoužívat !pip install... k instalaci balíčků v poznámkových blocích Azure Machine Learning. Místo toho použijte jednu z následujících možností:

• Použijte kouzelný příkaz %pip v notebooku. Run (Spuštění):

  
  %pip install --upgrade msticpy
  

• Instalace z terminálu:

  1. Otevřete terminál v poznámkových blocích Azure Machine Learning a spusťte následující příkazy:

     conda activate azureml_py38
     pip install --upgrade msticpy
     

  2. Zavřete terminál a restartujte jádro.

Nastavte proměnnou prostředí pro soubor msticpyconfig.yaml

Pokud používáte Azure Machine Learning a máte soubor msticpyconfig.yaml v kořenové složce uživatele, msTICPy tato nastavení automaticky najde. Pokud ale poznámkové bloky spouštíte v jiném prostředí, nastavte proměnnou prostředí, která odkazuje na umístění konfiguračního souboru, podle pokynů v této části.

Definování cesty k msticpyconfig.yaml souboru v proměnné prostředí umožňuje uložit váš soubor do známého umístění a zajistit, abyste vždy nahrávali stejná nastavení.

Jestliže chcete pro různé poznámkové bloky použít různá nastavení, použijte několik konfiguračních souborů s více různými proměnnými prostředí.

1. Rozhodněte se o umístění souboru msticpyconfig.yaml , například v souboru ~/.msticpyconfig.yaml nebo %userprofile%/msticpyconfig.yaml.

   Uživatelé Azure ML: Pokud konfigurační soubor uložíte do složky uživatele služby Azure Machine Learning, funkce MSTICPy init_notebook (spuštěná v buňce inicializace) automaticky najde a použije soubor a není nutné nastavit proměnnou prostředí MSTICPYCONFIG .

   Pokud ale máte v souboru uložené i tajné kódy, doporučujeme konfigurační soubor uložit na výpočetní místní disk. Interní výpočetní úložiště je přístupné jenom osobě, která výpočetní prostředky vytvořila, zatímco sdílené úložiště je přístupné komukoli, kdo má přístup k vašemu pracovnímu prostoru Azure Machine Learning.

   Další informace najdete v tématu Co je výpočetní instance služby Azure Machine Learning?

2. V případě potřeby zkopírujte soubor msticpyconfig.yaml do vybraného umístění.

3. Nastavte proměnnou prostředí MSTICPYCONFIG tak, aby odkazovala na toto umístění.

K definování proměnné prostředí MSTICPYCONFIG použijte jeden z následujících postupů.

Windows

Pokud chcete například nastavit proměnnou prostředí MSTICPYCONFIG v systémech Windows:

1. Podle potřeby přesuňte soubor msticpyconfig.yaml do výpočetní instance.

2. Otevřete dialogové okno Vlastnosti systému a přejděte na kartu Upřesnit.

3. Výběrem možnosti Proměnné prostředí... otevřete dialogové okno Proměnné prostředí.

4. V oblasti Systémové proměnné vyberte Nový... a definujte hodnoty následujícím způsobem:

   • Variable name: Definujte jako MSTICPYCONFIG
   • Hodnota proměnné: Zadejte cestu k souboru msticpyconfig.yaml.

Linux

Tento postup popisuje, jak aktualizovat soubor .bashrc tak, aby nastavil proměnnou prostředí MSTICPYCONFIG v systémech Linux.

1. Podle potřeby přesuňte soubor msticpyconfig.yaml do výpočetní instance.

2. Otevřete terminál Azure Machine Learning, například na stránce Poznámkové bloky Microsoft Sentinelu.

3. Ověřte, že máte přístup k souboru msticpyconfig.yaml .

   V terminálu Azure Machine Learning by váš aktuální adresář měl být váš domovský adresář úložiště souborů Azure Machine Learning připojený v systému Compute Linux. Výzva vypadá podobně jako v následujícím příkladu:

   azureuser@alicecontoso-azml7:~/cloudfiles/code/Users/alicecontoso$
   

   Vypište všechny soubory v domovském adresáři, včetně souboru msticpyconfig.yaml zadáním ls.

4. Pokud chcete přesunout soubor msticpyconfig.yaml do úložiště souborů Compute, zadejte:

   mv msticpyconfig.yaml ~
   

5. K úpravě souboru .bashrc pro proměnnou prostředí použijte jeden z následujících procesů:

   Příkaz	Kroky
   vim	1. Spusťte: vim ~/.bashrc 2. Přejděte na konec souboru stisknutím kombinace kláves SHIFT+G>End. 3. Vytvořte nový řádek zadáním a a stisknutím klávesy ENTER. 4. Přidejte proměnnou prostředí a stisknutím klávesy ESC se vraťte do režimu příkazů. 5. Uložte soubor zadáním :wq.
   nano	1. Spusťte: nano ~/.bashrc 1. Přejděte na konec souboru stisknutím kláves ALT+/ nebo OPTION+/. 1. Přidejte proměnnou prostředí a pak soubor uložte. Stiskněte ctrl+X a pak Y.

   Přidejte jednu z následujících proměnných prostředí:

   • Pokud jste přesunuli soubor msticpyconfig.yaml , spusťte export MSTICPYCONFIG=~/msticpyconfig.yaml.
   • Pokud jste soubor msticpyconfig.yaml nepřesunuli, spusťte export MSTICPYCONFIG=~/cloudfiles/code/Users/<YOURNAME>/msticpyconfig.yaml.

Možnosti služby Azure Machine Learning

Pokud potřebujete uložit soubor msticpyconfig.yaml někam jinam než do složky uživatele služby Azure Machine Learning, použijte jednu z následujících možností:

• Soubor nbuser_settings.py v kořenové složce uživatele. I když je tento proces jednodušší a méně rušivý než úprava souboru kernel.json , podporuje se pouze při spuštění init_notebook funkce na začátku kódu poznámkového bloku. Toto je výchozí chování, pokud spustíte kód poznámkového bloku, aniž byste nejprve spustili init_notebook, MSTICPy možná nebude moci najít konfigurační soubor.

  1. V terminálu Azure Machine Learning vytvořte soubor nbuser_settings.py v kořenové složce uživatele, což je složka s vaším uživatelským jménem.

  2. Do souboru nbuser_settings.py přidejte následující řádky:

       import os
       os.environ["MSTICPYCONFIG"] = "~/msticpyconfig.yaml"
     

  Tento soubor se automaticky naimportuje init_notebook funkcí a nastaví MSTICPYCONFIG proměnnou prostředí pro aktuální poznámkový blok.

• Soubor kernel.json jádra Pythonu. Tento postup použijte, pokud plánujete spustit poznámkový blok ručně a případně bez volání init_notebook funkce na začátku.

  Existují jádra pro Python 3.6 a Python 3.8. Pokud používáte obě jádra, upravte oba soubory.

  • Umístění Pythonu 3.8: /usr/local/share/jupyter/kernels/python38-azureml/kernel.json
  • Umístění Pythonu 3.6: /usr/local/share/jupyter/kernels/python3-azureml/kernel.json

  Nastavit proměnnou prostředí v souboru kernel.json

  1. Vytvořte kopii souboru kernel.json a otevřete původní soubor v editoru. Možná budete muset použít sudo k přepsání souboru kernel.json a obsah souboru bude vypadat podobně jako v následujícím příkladu:

     {
        "argv": [
        "/anaconda/envs/azureml_py38/bin/python",
        "-m",
        "ipykernel_launcher",
        "-f",
        "{connection_file}"
        ],
        "display_name": "Python 3.8 - AzureML",
        "language": "python"
     }
     

  2. "language" Za položku přidejte následující řádek:"env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }

     Nezapomeňte na konec řádku přidat čárku "language": "python" . Příklad:

     {
         "argv": [
         "/anaconda/envs/azureml_py38/bin/python",
         "-m",
         "ipykernel_launcher",
         "-f",
         "{connection_file}"
         ],
         "display_name": "Python 3.8 - AzureML",
         "language": "python",
         "env": { "MSTICPYCONFIG": "~/msticpyconfig.yaml" }
     }
     

Poznámka:

V případě možností Linuxu a Windows je potřeba restartovat server Jupyter, aby se vybrala proměnná prostředí, kterou jste definovali.

Další kroky

Další informace naleznete v tématu:

Předmět	Další odkazy
MSTICPy	- Konfigurace balíčku MSTICPy - Editor nastavení MSTICPy - Konfigurace prostředí poznámkového bloku - MPSettingsEditor Poznámkový blok Poznámka: Úložiště Azure-Sentinel-Notebooks na GitHubu obsahuje také soubor msticpyconfig.yaml se zakomentovanými oddíly, které vám můžou pomoct pochopit nastavení.
Poznámkové bloky Jupyter a Microsoft Sentinel	- Vytvoření prvního poznámkového bloku Microsoft Sentinelu (řada blogů) - Poznámkové bloky Jupyter: Úvod - Dokumentace k MSTICPy - Dokumentace ke službě Microsoft Sentinel Notebooks - The Infosec Jupyterbook - Průvodce poznámkovým blokem Explorer pro hostitele na Linuxu - Proč používat Jupyter pro vyšetřování zabezpečení - Vyšetřování zabezpečení s využitím Microsoft Sentinelu a poznámkových bloků - Dokumentace Pandas - Dokumentace k Bokeh