Búsqueda de amenazas de seguridad con cuadernos de Jupyter Notebook

Se aplica a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Como parte de las investigaciones de seguridad y la búsqueda, inicie y ejecute cuadernos de Jupyter Notebook para analizar los datos mediante programación.

En este artículo, creará una Azure área de trabajo de Machine Learning, iniciará el cuaderno desde Microsoft Sentinel al área de trabajo de Azure Machine Learning y ejecutará código en el cuaderno.

Importante

Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.

Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.

Requisitos previos

Se recomienda obtener información sobre Microsoft Sentinel cuadernos antes de completar los pasos de este artículo. Consulte Uso de cuadernos de Jupyter Notebook para buscar amenazas de seguridad.

Para usar Microsoft Sentinel cuadernos, debe tener los siguientes roles y permisos:

Tipo	Detalles
Microsoft Sentinel	- El rol colaborador Microsoft Sentinel, con el fin de guardar e iniciar cuadernos desde Microsoft Sentinel
Azure Machine Learning	- Un rol de propietario o colaborador de nivel de grupo de recursos para crear una nueva Azure área de trabajo de Machine Learning si es necesario. - Un rol colaborador en el área de trabajo Azure Machine Learning donde se ejecutan los cuadernos de Microsoft Sentinel. Para obtener más información, consulte Administración del acceso a un área de trabajo de Machine Learning Azure.

Tipo

Detalles

Microsoft Sentinel

- El rol colaborador Microsoft Sentinel, con el fin de guardar e iniciar cuadernos desde Microsoft Sentinel

Azure Machine Learning

- Un rol de propietario o colaborador de nivel de grupo de recursos para crear una nueva Azure área de trabajo de Machine Learning si es necesario.
- Un rol colaborador en el área de trabajo Azure Machine Learning donde se ejecutan los cuadernos de Microsoft Sentinel.

Para obtener más información, consulte Administración del acceso a un área de trabajo de Machine Learning Azure.

Creación de un área de trabajo de Machine Learning Azure desde Microsoft Sentinel

Para crear el área de trabajo, seleccione una de las pestañas siguientes, en función de si usa un punto de conexión público o privado.

Se recomienda usar un punto de conexión público cuando el área de trabajo de Microsoft Sentinel tenga uno, para evitar posibles problemas en la comunicación de red.
Si desea usar una Azure área de trabajo de Machine Learning en una red virtual, use un punto de conexión privado.

Punto de conexión público
Punto de conexión privado

Para Microsoft Sentinel en el Azure Portal, en Administración de amenazas, seleccione Cuadernos.
Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Notebooks de administración> deazure.
Seleccione Configurar Azure Machine Learning>Crear un área de trabajo de AML.

Escriba los detalles siguientes y, a continuación, seleccione Siguiente.

Campo	Description
Subscription	Seleccione la suscripción Azure que desea usar.
Grupo de recursos	Use un grupo de recursos existente en la suscripción o escriba un nombre para crear un nuevo grupo de recursos. Un grupo de recursos contiene recursos relacionados para una solución Azure.
Nombre del área de trabajo	Escriba un nombre único que identifique el área de trabajo. Los nombres deben ser únicos en todo el grupo de recursos. Use un nombre que sea fácil de recuperar y diferenciar de las áreas de trabajo creadas por otros usuarios.
Región	Seleccione la ubicación más cercana a los usuarios y los recursos de datos para crear el área de trabajo.
Cuenta de almacenamiento	Una cuenta de almacenamiento se usa como almacén de datos predeterminado para el área de trabajo. Puede crear un nuevo recurso de Azure Storage o seleccionar uno existente en la suscripción.
KeyVault	Un almacén de claves se usa para almacenar secretos y otra información confidencial que necesita el área de trabajo. Puede crear un nuevo recurso Azure Key Vault o seleccionar uno existente en la suscripción.
Application Insights	El área de trabajo usa Aplicación de Azure Insights para almacenar información de supervisión sobre los modelos implementados. Puede crear un nuevo recurso de Aplicación de Azure Insights o seleccionar uno existente en la suscripción.
Registro de contenedor	Un registro de contenedor se usa para registrar imágenes de Docker usadas en el entrenamiento y las implementaciones. Para minimizar los costos, solo se crea un nuevo recurso de Azure Container Registry después de compilar la primera imagen. Como alternativa, puede optar por crear el recurso ahora o seleccionar uno existente en la suscripción, o bien seleccionar Ninguno si no desea usar ningún registro de contenedor.

En la pestaña Redes , seleccione Habilitar el acceso público desde todas las redes.

Defina cualquier configuración relevante en las pestañas Avanzadas o Etiquetas y, a continuación, seleccione Revisar y crear.
En la pestaña Revisar y crear , revise la información para comprobar que es correcta y, a continuación, seleccione Crear para empezar a implementar el área de trabajo. Por ejemplo:

La creación del área de trabajo en la nube puede tardar varios minutos. Durante este tiempo, la página Información general del área de trabajo muestra el estado de implementación actual y se actualiza cuando se completa la implementación.

Los pasos de este procedimiento hacen referencia a artículos específicos de la documentación de Azure Machine Learning cuando sea pertinente. Para obtener más información, consulte Creación de un área de trabajo de Machine Learning Azure segura.

Cree un jump box de máquina virtual (VM) dentro de una red virtual. Dado que la red virtual restringe el acceso desde la red pública de Internet, el jump box se usa como una manera de conectarse a los recursos detrás de la red virtual.
Acceda al jump box y, a continuación, vaya al área de trabajo de Microsoft Sentinel. Se recomienda usar Azure Bastion para acceder a la máquina virtual.
Para Microsoft Sentinel en el Azure Portal, en Administración de amenazas, seleccione Cuadernos.
Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Notebooks de administración> deazure.
Seleccione Configurar Azure Machine Learning>Crear un área de trabajo de AML.

Escriba los detalles siguientes y, a continuación, seleccione Siguiente.

Campo	Description
Subscription	Seleccione la suscripción Azure que desea usar.
Grupo de recursos	Use un grupo de recursos existente en la suscripción o escriba un nombre para crear un nuevo grupo de recursos. Un grupo de recursos contiene recursos relacionados para una solución Azure.
Nombre del área de trabajo	Escriba un nombre único que identifique el área de trabajo. Los nombres deben ser únicos en todo el grupo de recursos. Use un nombre que sea fácil de recuperar y diferenciar de las áreas de trabajo creadas por otros usuarios.
Región	Seleccione la ubicación más cercana a los usuarios y los recursos de datos para crear el área de trabajo.
Cuenta de almacenamiento	Una cuenta de almacenamiento se usa como almacén de datos predeterminado para el área de trabajo. Puede crear un nuevo recurso de Azure Storage o seleccionar uno existente en la suscripción.
KeyVault	Un almacén de claves se usa para almacenar secretos y otra información confidencial que necesita el área de trabajo. Puede crear un nuevo recurso Azure Key Vault o seleccionar uno existente en la suscripción.
Application Insights	El área de trabajo usa Aplicación de Azure Insights para almacenar información de supervisión sobre los modelos implementados. Puede crear un nuevo recurso de Aplicación de Azure Insights o seleccionar uno existente en la suscripción.
Registro de contenedor	Un registro de contenedor se usa para registrar imágenes de Docker usadas en el entrenamiento y las implementaciones. Para minimizar los costos, solo se crea un nuevo recurso de Azure Container Registry después de compilar la primera imagen. Como alternativa, puede optar por crear el recurso ahora o seleccionar uno existente en la suscripción, o bien seleccionar Ninguno si no desea usar ningún registro de contenedor.

En la pestaña Redes , seleccione Deshabilitar el acceso público y use el punto de conexión privado. Asegúrese de usar la misma red virtual que en el jump box de máquina virtual. Por ejemplo:
Defina cualquier configuración relevante en las pestañas Avanzadas o Etiquetas y, a continuación, seleccione Revisar y crear.
En la pestaña Revisar y crear , revise la información para comprobar que es correcta y, a continuación, seleccione Crear para empezar a implementar el área de trabajo. Por ejemplo:

La creación del área de trabajo en la nube puede tardar varios minutos. Durante este tiempo, la página Información general del área de trabajo muestra el estado de implementación actual y se actualiza cuando se completa la implementación.
En el Estudio de Azure Machine Learning, en la página Proceso, cree un nuevo proceso. En la pestaña Configuración avanzada , asegúrese de seleccionar la misma red virtual que ha usado para el jump box de máquina virtual. Para obtener más información, consulte Creación y administración de una instancia de proceso de Azure Machine Learning.
Configure el tráfico de red para acceder a Azure Machine Learning desde detrás de un firewall. Para obtener más información, consulte Configuración del tráfico de red entrante y saliente.

Continúe con uno de los siguientes conjuntos de pasos:

Si solo tiene un vínculo privado: ahora puede acceder a los cuadernos a través de cualquiera de los métodos siguientes:
- Clonación e inicio de cuadernos de Microsoft Sentinel a Azure Machine Learning
- Carga manual de cuadernos en Azure Machine Learning
- Clonación del repositorio de GitHub de cuadernos de Microsoft Sentinel en el terminal de Azure Machine Learning
Si tiene otro vínculo privado, que usa una red virtual diferente, haga lo siguiente:
1. En el Azure Portal, vaya al grupo de recursos del área de trabajo Azure Machine Learning y, a continuación, busque los recursos de zona de DNS privadodenominados privatelink.api.azureml.ms y privatelink.notebooks.azure.ms. Por ejemplo:
2. Para cada recurso, incluidos privatelink.api.azureml.ms y privatelink.notebooks.azure.ms, agregue un vínculo de red virtual.
  
  Seleccione el recurso >Vínculos> de red virtualAgregar. Para obtener más información, consulte Vinculación de la red virtual.

Para más información, vea:

Una vez completada la implementación, vuelva a Cuadernos en Microsoft Sentinel e inicie cuadernos desde el nuevo área de trabajo de Machine Learning Azure.

Si tiene varios cuadernos, asegúrese de seleccionar un área de trabajo de AML predeterminada que se usará al iniciar los cuadernos. Por ejemplo:

Seleccione un área de trabajo de AML predeterminada para los cuadernos.

Inicio de un cuaderno en el área de trabajo Azure Machine Learning

Después de crear una Azure área de trabajo de Machine Learning, inicie el cuaderno en ese área de trabajo desde Microsoft Sentinel. Tenga en cuenta que si tiene puntos de conexión privados o restricciones en el acceso a la red pública habilitado en la cuenta de almacenamiento de Azure, no puede iniciar cuadernos en el área de trabajo de Azure Machine Learning desde Microsoft Sentinel. Debe copiar la plantilla de cuaderno de Microsoft Sentinel y cargar el cuaderno en el Estudio de Azure Machine Learning.

Para iniciar el cuaderno de Microsoft Sentinel en el área de trabajo de Azure Machine Learning, complete los pasos siguientes.

Para Microsoft Sentinel en el Azure Portal, en Administración de amenazas, seleccione Cuadernos.
Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Notebooks de administración> deazure.
Seleccione la pestaña Plantillas para ver los cuadernos que Microsoft Sentinel proporciona.
Seleccione un cuaderno para ver su descripción, los tipos de datos necesarios y los orígenes de datos.
Cuando encuentre el cuaderno que desea usar, seleccione Crear a partir de la plantilla y Guardar para clonarlo en su propio área de trabajo. Solo se pueden seleccionar Azure áreas de trabajo de Machine Learning en la misma suscripción.
Edite el nombre según sea necesario. Si el cuaderno ya existe en el área de trabajo, sobrescriba el cuaderno existente o cree uno nuevo. De forma predeterminada, el cuaderno se guarda en el directorio /Users/<Your_User_Name>/ del área de trabajo de AML seleccionada.
Una vez guardado el cuaderno, el botón Guardar cuaderno cambia a Iniciar cuaderno. Seleccione Iniciar cuaderno para abrirlo en el área de trabajo de AML.

Por ejemplo:
En la parte superior de la página, seleccione una instancia de Proceso que se usará para el servidor de cuadernos.

Si no tiene una instancia de proceso, cree una nueva. Si la instancia de proceso está detenida, asegúrese de iniciarla. Para obtener más información, consulte Ejecución de un cuaderno en el Estudio de Azure Machine Learning.

Solo puede ver y usar las instancias de proceso que cree. Los archivos de usuario se almacenan por separado de la máquina virtual y se comparten entre todas las instancias de proceso del área de trabajo.

Si va a crear una nueva instancia de proceso para probar los cuadernos, cree la instancia de proceso con la categoría De uso general.

El kernel también se muestra en la parte superior derecha de la ventana de Machine Learning de Azure. Si el kernel que necesita no está seleccionado, seleccione una versión diferente de la lista desplegable.
Una vez creado e iniciado el servidor de cuadernos, ejecute las celdas del cuaderno. En cada celda, seleccione el icono Ejecutar para ejecutar el código del cuaderno.

Para obtener más información, vea Accesos directos del modo comando.
Si el cuaderno se bloquea o quiere empezar de nuevo, puede reiniciar el kernel y volver a ejecutar las celdas del cuaderno desde el principio. Si reinicia el kernel, se eliminan las variables y otro estado. Vuelva a ejecutar las celdas de inicialización y autenticación después de reiniciar.

Para empezar de nuevo, seleccione Operaciones> delkernel Reiniciar kernel. Por ejemplo:

Ejecución de código en el cuaderno

Ejecute siempre celdas de código del cuaderno en secuencia. La omisión de celdas puede dar lugar a errores.

En un cuaderno:

Las celdas de Markdown tienen texto, incluidos HTML, e imágenes estáticas.
Las celdas de código contienen código. Después de seleccionar una celda de código, ejecute el código en la celda seleccionando el icono Reproducir a la izquierda de la celda o presionando MAYÚS+ENTRAR.

Por ejemplo, ejecute la siguiente celda de código en el cuaderno:

# This is your first code cell. This cell contains basic Python code.

# You can run a code cell by selecting it and then selecting
# the Play button to the left of the cell, or by pressing SHIFT+ENTER.
# Code output displays below the code.

print("Congratulations, you just ran this code cell")

y = 2 + 2

print("2 + 2 =", y)

El código de ejemplo genera esta salida:

Congratulations, you just ran this code cell

2 + 2 = 4

Las variables establecidas dentro de una celda de código del cuaderno persisten entre celdas, por lo que puede encadenar celdas juntas. Por ejemplo, la siguiente celda de código usa el valor de de y la celda anterior:

# Note that output from the last line of a cell is automatically
# sent to the output cell, without needing the print() function.

y + 2

La salida es:

Descargar todos los cuadernos de Microsoft Sentinel

En esta sección se describe cómo usar Git para descargar todos los cuadernos disponibles en el repositorio de GitHub Microsoft Sentinel, desde dentro de un cuaderno de Microsoft Sentinel, directamente al área de trabajo de Azure Machine Learning.

Almacenar los cuadernos de Microsoft Sentinel en el área de trabajo de Azure Machine Learning le permite mantenerlos actualizados fácilmente.

En un cuaderno de Microsoft Sentinel, escriba el código siguiente en una celda vacía y, a continuación, ejecute la celda:
```
!git clone https://github.com/Azure/Azure-Sentinel-Notebooks.git azure-sentinel-nb
```
Se crea una copia del contenido del repositorio de GitHub en el directorio azure-Sentinel-nb de la carpeta de usuario del área de trabajo de Azure Machine Learning.
Copie los cuadernos que desee de esta carpeta en el directorio de trabajo.
Para actualizar los cuadernos con los cambios recientes de GitHub, ejecute:
```
!cd azure-sentinel-nb && git pull
```

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-23