Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie das Notizbuch " Erste Schritte" für Microsoft Sentinel ML-Notizbücher ausführen, das grundlegende Konfigurationen für das Ausführen von Jupyter-Notizbüchern in Microsoft Sentinel einrichtet und Beispiele für das Ausführen einfacher Abfragen bereitstellt.
Das Notizbuch "Erste Schritte" für Microsoft Sentinel ML-Notizbücher verwendet MSTICPy, eine leistungsstarke Python-Bibliothek, die entwickelt wurde, um Sicherheitsuntersuchungen und Bedrohungssuche in Microsoft Sentinel-Notizbüchern zu verbessern. Es bietet integrierte Tools für Die Datenanreicherung, Visualisierung, Anomalieerkennung und automatisierte Abfragen und hilft Analysten dabei, ihren Workflow ohne umfangreiche benutzerdefinierte Codierung zu optimieren.
Weitere Informationen finden Sie unter Verwenden von Notebooks für Untersuchungen und Verwenden von Jupyter-Notebooks zum Suchen nach Sicherheitsbedrohungen.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen und Ressourcen verfügen.
| Voraussetzung | BESCHREIBUNG |
|---|---|
| Erlaubnisse | Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen, um Notebooks in Microsoft Sentinel zu verwenden. Weitere Informationen finden Sie unter Verwalten des Zugriffs auf Microsoft Sentinel-Notebooks. |
| Python | Sie benötigen Python 3.6 oder höher, um die Schritte in diesem Artikel ausführen zu können. In Azure Machine Learning können Sie entweder einen Python 3.8-Kernel (empfohlen) oder einen Python 3.6-Kernel verwenden. Wenn Sie das in diesem Artikel beschriebene Notebook in einer anderen Jupyter-Umgebung verwenden, können Sie einen beliebigen Kernel, der Python 3.6 oder höher unterstützt, verwenden. Um MSTICPy-Notebooks außerhalb von Microsoft Sentinel und Azure Machine Learning (ML) zu verwenden, müssen Sie auch Ihre Python-Umgebung konfigurieren. Installieren Sie Python 3.6 oder höher mit der Anaconda-Distribution, die viele der erforderlichen Pakete enthält. |
| MaxMind GeoLite2 | Dieses Notizbuch verwendet den GeoLocation-Suchdienst MaxMind GeoLite2 für IP-Adressen. Um den MaxMind GeoLite2-Dienst zu verwenden, benötigen Sie einen Lizenzschlüssel. Sie können sich auf der Maxmind-Anmeldeseite registrieren, um ein kostenloses Konto zu erstellen und einen Schlüssel zu erhalten. |
| VirusTotal | Dieses Notizbuch verwendet VirusTotal (VT) als Bedrohungserkennungsquelle. Um die VirusTotal-Threat Intelligence-Suche verwenden zu können, benötigen Sie ein VirusTotal-Konto und einen API-Schlüssel. Wenn Sie einen VT Enterprise-Schlüssel verwenden, speichern Sie ihn in einem Azure Key Vault anstelle der Datei "msticpyconfig.yaml ". Weitere Informationen finden Sie unter Angeben von Geheimnissen als Key Vault Geheimnisse in der MSTICPY-Dokumentation. Wenn Sie derzeit keinen Azure Key Vault einrichten möchten, registrieren Sie sich für ein kostenloses Konto und verwenden Sie es, bis Sie den Key Vault Speicher einrichten können. |
Installieren und Ausführen des Notizbuchs "Erste Schritte"
In diesem Verfahren wird beschrieben, wie Sie Ihr Notizbuch mit Microsoft Sentinel starten.
Wählen Sie für Microsoft Sentinel im Defender-Portal die Option Microsoft Sentinel>Verwaltung von Bedrohungen>Notebooks aus. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Verwaltung von Bedrohungen die Option Notebooks aus.
Wählen Sie auf der Registerkarte Vorlagen die Option Ein Leitfaden „Erste Schritte“ für Microsoft Sentinel ML-Notebooks aus.
Wähl Sie Aus Vorlage erstellen aus.
Bearbeiten Sie den Namen, und wählen Sie den Azure Machine Learning-Arbeitsbereich entsprechend aus.
Wählen Sie Speichern aus, um es in Ihrem Azure Machine Learning-Arbeitsbereich zu speichern.
Wählen Sie Notebook starten aus, um das Notebook auszuführen. Das Notebook enthält eine Reihe von Zellen:
- Markdown-Zellen enthalten Text und Grafiken mit Anweisungen zur Verwendung des Notebooks
- Code-Zellen enthalten ausführbaren Code, der die Notebookfunktionen ausführt.
Wählen Sie oben auf der Seite Rechnen aus.
Fahren Sie fort, indem Sie die Markdown-Zellen lesen und die Codezellen in der angegebenen Reihenfolge ausführen, wobei Sie die Anweisungen im Notizbuch verwenden. Das Überspringen von Zellen oder deren Ausführung in falscher Reihenfolge kann später zu Fehlern im Notebook führen.
Je nachdem, welche Funktion ausgeführt wird, kann der Code in der Zelle schnell ausgeführt werden, oder es kann einige Zeit dauern, bis die Funktion abgeschlossen ist. Bei der Ausführung der Zelle ändert sich die Wiedergabeschaltfläche in einen Wartekreisel für den Ladevorgang. Der Status wird zusammen mit der verstrichenen Zeit unten in der Zelle angezeigt.
Wenn Sie eine Codezelle zum ersten Mal ausführen, kann es je nach Ihren Berechnungseinstellungen mehrere Minuten dauern, bis die Sitzung gestartet wird. Bereit-Anzeige wird angezeigt, wenn das Notizbuch zum Ausführen der Codezellen bereit ist. Beispiel:
Das Notizbuch "Erste Schritte" für Microsoft Sentinel ML-Notizbücher enthält Abschnitte für die folgenden Aktivitäten:
| Name | BESCHREIBUNG |
|---|---|
| Einführung | Beschreiben Sie die Grundlagen des Notizbuchs und enthält Beispielcode, den Sie ausführen können, um zu sehen, wie Notizbücher funktionieren. |
| Initialisieren des Notizbuchs und MSTICPy | Hilft Ihnen, Ihre Umgebung für die Ausführung der übrigen Teile des Notebooks bereitzustellen. Beim Initialisieren des Notizbuchs werden Konfigurationswarnungen zu fehlenden Einstellungen erwartet, da Sie noch nichts konfiguriert haben. |
| Abfragen von Daten aus Microsoft Sentinel | Unterstützt Sie beim Überprüfen, Konfigurieren und Testen von Microsoft Sentinel-Einstellungen. Verwenden Sie den Code in diesem Abschnitt, um sich bei Microsoft Sentinel zu authentifizieren und eine Beispielabfrage auszuführen, um die Verbindung zu testen. |
| Konfigurieren und Testen externer Datenanbieter (VirusTotal und Maxmind GeoLite2) | Unterstützt Sie beim Konfigurieren von Einstellungen für VirusTotal, als Beispiel für bedrohungserkennungsdienst und MaxMind GeoLite2 als Beispiel-Geo-Standort-Suchdienst. Verwenden Sie den Code in diesem Abschnitt, um Beispielabfragen für diese Datenanbieter auszuführen, um sie zu testen. |
Der Code im Leitfaden für erste Schritte für Microsoft Sentinel ML-Notizbücher startet das MpConfigEdit-Tool , das eine Reihe von Registerkarten zum Konfigurieren Ihrer Notizbuchumgebung enthält. Wenn Sie Änderungen am MpConfigEdit-Tool vornehmen, müssen Sie die Änderungen speichern, bevor Sie fortfahren. Die Einstellungen für das Notizbuch werden in der Datei "msticpyconfig.yaml " gespeichert, die automatisch mit den anfänglichen Details für Ihren Arbeitsbereich ausgefüllt wird.
Lesen Sie die Markdownzellen sorgfältig durch, damit Sie den Prozess vollständig verstehen, einschließlich der einstellungen und der Datei "msticpyconfig.yaml ". Die nächsten Schritte, zusätzliche Ressourcen und häufig gestellte Fragen aus dem Azure Sentinel-Notizbuchwiki sind vom Ende des Notizbuchs verknüpft.
Anpassen Ihrer Abfragen (optional)
Das Notizbuch "Erste Schritte" für Microsoft Sentinel ML-Notizbücher enthält Beispielabfragen, die Sie beim Erlernen von Notizbüchern verwenden können. Passen Sie die integrierten Abfragen an, indem Sie weitere Abfragelogik hinzufügen oder vollständige Abfragen mithilfe der exec_query Funktion ausführen. Die meisten integrierten Abfragen unterstützen beispielsweise den add_query_items-Parameter, mit dem Sie Filter oder andere Vorgänge an die Abfragen anfügen können.
Führen Sie die folgende Codezelle aus, um einen Datenrahmen hinzuzufügen, der die Anzahl der Warnungen anhand des Warnungsnamens zusammenfasst:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Übergeben Sie eine vollständige KQL-Abfragezeichenfolge (Kusto Query Language, Kusto-Abfragesprache) an den Abfrageanbieter. Die Abfrage wird für den verbundenen Arbeitsbereich ausgeführt und die Daten werden als Panda-DataFrame zurückgegeben. Führen Sie Folgendes aus:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Weitere Informationen finden Sie unter
Anleitung auf andere Notebooks anwenden
In den Schritten in diesem Artikel wird beschrieben, wie Sie den Leitfaden für die ersten Schritte für Microsoft Sentinel ML-Notebooks in Ihrem Azure Machine Learning-Arbeitsbereich über Microsoft Sentinel ausführen. Sie können diesen Artikel auch als Anleitung für die Durchführung ähnlicher Schritte verwenden, um Notebooks in anderen Umgebungen, auch lokal, durchzuführen.
Mehrere Microsoft Sentinel Notebooks verwenden MSTICPy nicht, wie z. B. die Credential Scanner-Notebooks oder die PowerShell- und C#-Beispiele. Notebooks, die MSTICpy nicht verwenden, benötigen die in diesem Artikel beschriebene MSTICPy-Konfiguration nicht.
Probieren Sie andere Microsoft Sentinel-Notizbücher aus, z. B.:
- Konfigurieren Ihrer Notebook-Umgebung
- Eine Tour durch Cybersec-Notizbuchfunktionen
- Beispiele für maschinelles Lernen in Notizbüchern
- Die Entitäts-Explorer-Reihe , einschließlich Variationen für Konten, Domänen und URLs, IP-Adressen und Linux- oder Windows-Hosts.
Weitere Informationen finden Sie unter
- Jupyter-Notizbücher mit Microsoft Sentinel-Suchfunktionen
- Erweiterte Konfigurationen für Jupyter-Notizbücher und MSTICPy in Microsoft Sentinel
- (Blogreihe)
- Anleitung für das Linux Host Explorer Notebook (Blog)
Verwandte Inhalte
Weitere Informationen finden Sie unter