Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo ejecutar el cuaderno Guía de Introducción para los Cuadernos de Microsoft Sentinel ML, que establece las configuraciones básicas para ejecutar cuadernos de Jupyter en Microsoft Sentinel y proporciona ejemplos para ejecutar consultas sencillas.
La Guía de introducción para Microsoft Sentinel ML Notebooks usa MSTICPy, una biblioteca eficaz de Python diseñada para mejorar las investigaciones de seguridad y la búsqueda de amenazas en Microsoft Sentinel. Proporciona herramientas integradas para el enriquecimiento de datos, la visualización, la detección de anomalías y las consultas automatizadas, lo que ayuda a los analistas a simplificar su flujo de trabajo sin una codificación personalizada extensa.
Para obtener más información, vea Uso de cuadernos como tecnología de las investigaciones y Uso de Jupyter Notebook para buscar amenazas de seguridad.
Importante
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Requisitos previos
Antes de empezar, asegúrese de que tiene los permisos y recursos necesarios.
| Prerrequisito | Descripción |
|---|---|
| Permisos | Para usar cuadernos en Microsoft Sentinel, asegúrese de que tiene los permisos necesarios. Para obtener más información, consulte Administración del acceso a los cuadernos de Microsoft Sentinel. |
| Pitón | Para realizar los pasos de este artículo, necesita Python 3.6 o posterior. En Azure Machine Learning, puede usar un kernel de Python 3.8 (recomendado) o un kernel de Python 3.6. Si usa el cuaderno descrito en este artículo en otro entorno de Jupyter, puede usar cualquier kernel que admita Python 3.6 o posteriores. Para usar cuadernos de MSTICPy fuera de Microsoft Sentinel y Azure Machine Learning (ML), también debe configurar el entorno de Python. Instale Python 3.6 o posterior con la distribución Anaconda, que incluye muchos de los paquetes necesarios. |
| MaxMind GeoLite2 | En este cuaderno se usa el servicio de búsqueda de geolocalización MaxMind GeoLite2 para direcciones IP. Para usar el servicio MaxMind GeoLite2, necesita una clave de licencia. Puede registrarse para obtener una cuenta gratuita y una clave en la página de registro de Maxmind. |
| VirusTotal | Este cuaderno utiliza VirusTotal (VT) como fuente de información sobre amenazas. Para usar la búsqueda de inteligencia sobre amenazas de VirusTotal, necesita una cuenta de VirusTotal y una clave de API. Si usa una clave empresarial de VT, almacénela en azure Key Vault en lugar del archivo msticpyconfig.yaml . Para obtener más información, vea Especificación de secretos como secretos de Key Vault en la documentación de MSTICPY. Si no quiere configurar una cuenta de Azure Key Vault en este momento, regístrese y use una cuenta gratuita hasta que pueda configurar el almacenamiento de Key Vault. |
Instalación y ejecución del cuaderno guía de introducción
En este procedimiento se describe cómo iniciar el cuaderno con Microsoft Sentinel.
Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Administración de amenazas>Notebooks. Para Microsoft Sentinel en Azure Portal, en Administración de amenazas, seleccione Notebooks.
En la pestaña Plantillas, seleccione Guía de introducción para cuadernos de ML de Microsoft Sentinel .
Seleccione Crear desde plantilla.
Edite el nombre y seleccione el área de trabajo de Azure Machine Learning según corresponda.
Seleccione Guardar para guardarlo en el área de trabajo de Azure Machine Learning.
Seleccione Launch notebook (Iniciar cuaderno) para ejecutar el cuaderno. El cuaderno contiene una serie de celdas:
- Las celdas de Markdown contienen texto y gráficos con instrucciones para usar el cuaderno.
- Celdas de código contienen código ejecutable que realiza las funciones del cuaderno
En la parte superior de la página, seleccione Proceso.
Continúe leyendo las celdas de formato markdown y ejecutando las celdas de código en orden, siguiendo las instrucciones del cuaderno. Omitir las celdas o ejecutarlas fuera del orden podría provocar errores más adelante en el cuaderno.
Dependiendo de la función que se realiza, el código de la celda puede ejecutarse rápidamente o puede tardar algún tiempo en completarse. Cuando la célula se está ejecutando, el botón de reproducción cambia a una rueda giratoria de carga, y el estado se muestra en la parte inferior de la célula, junto con el tiempo transcurrido.
La primera vez que ejecute una celda de código, puede tardar varios minutos en iniciar la sesión, en función de la configuración de computación. Se muestra una indicación Ready cuando el cuaderno está listo para ejecutar celdas de código. Por ejemplo:
La Guía de introducción para los cuadernos de Microsoft Sentinel ML incluye secciones para las siguientes actividades:
| Nombre | Descripción |
|---|---|
| Introducción | Describe los conceptos básicos de los cuadernos y proporciona código de ejemplo que puedes ejecutar para ver cómo funcionan los cuadernos. |
| Inicialización del cuaderno y MSTICPy | Le ayuda a preparar el entorno para ejecutar el resto del cuaderno. Al inicializar el notebook, es normal que aparezcan advertencias de configuración sobre la falta de ajustes, porque aún no ha configurado nada. |
| Consulta de datos de Microsoft Sentinel | Le ayuda a comprobar, configurar y probar la configuración de Microsoft Sentinel. Use el código de esta sección para autenticarse en Microsoft Sentinel y ejecutar una consulta de ejemplo para probar la conexión. |
| Configurar y probar proveedores de datos externos (VirusTotal y Maxmind GeoLite2) | Le ayuda a configurar las opciones de VirusTotal, como un servicio de inteligencia sobre amenazas de ejemplo y MaxMind GeoLite2, como un servicio de búsqueda de ubicación geográfica de ejemplo. Use el código de esta sección para ejecutar consultas de ejemplo en estos proveedores de datos para probarlas. |
El código de la Guía de introducción para cuadernos de ML de Microsoft Sentinel inicia la herramienta MpConfigEdit , que tiene una serie de pestañas para configurar el entorno del cuaderno. A medida que realice cambios en la herramienta MpConfigEdit , asegúrese de guardar los cambios antes de continuar. La configuración del cuaderno se almacena en el archivo msticpyconfig.yaml , que se rellena automáticamente con los detalles iniciales del área de trabajo.
Asegúrese de leer detenidamente las celdas de Markdown para que comprenda completamente el proceso, incluida cada una de las opciones de configuración y el archivo msticpyconfig.yaml . Los siguientes pasos, recursos adicionales y preguntas frecuentes de la wiki Azure Sentinel Notebooks están vinculados al final del cuaderno.
Personalización de las consultas (opcional)
La Guía de introducción para los cuadernos ML de Microsoft Sentinel proporciona consultas de ejemplo que puede usar para aprender sobre los cuadernos. Personalice las consultas integradas agregando más lógica de consulta o ejecute consultas completas mediante la exec_query función . Por ejemplo, la mayoría de las consultas integradas admiten el parámetro add_query_items, que puede usar para anexar filtros u otras operaciones a las consultas.
Ejecute la celda de código siguiente para agregar una trama de datos que resuma el número de alertas por nombre de alerta:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Pase una cadena de consulta completa del lenguaje de consulta Kusto (KQL) al proveedor de consultas. La consulta se ejecuta en el área de trabajo conectada y los datos se devuelven como objeto DataFrame de Pandas. Ejecute:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Para más información, consulte:
Aplica instrucciones a otros cuadernos
En los pasos de este artículo se describe cómo ejecutar la guía de Introducción de cuadernos de Ml Notebook de Microsoft Sentinel cuaderno en el área de trabajo de Azure Machine Learning a través de Microsoft Sentinel. También puede usar este artículo como guía para realizar pasos similares a fin de ejecutar cuadernos en otros entornos, incluido el local.
Varios cuadernos de Microsoft Sentinel no usan MSTICPy, como el Analizador de credenciales de cuadernos o los ejemplos de PowerShell y C#. Los cuadernos que no usan MSTICpy no necesitan la configuración de MSTICPy que se describe en este artículo.
Pruebe otros cuadernos de Microsoft Sentinel, como:
- Configuración del entorno de Notebook
- Un recorrido por las características del cuaderno Cybersec
- Ejemplos de Machine Learning en cuadernos
- La serie Entity Explorer, incluyendo variantes para cuentas, dominios, direcciones URL, direcciones IP y hosts de Linux o Windows.
Para más información, consulte:
- Los blocs de notas Jupyter con capacidades de búsqueda de Microsoft Sentinel
- Configuraciones avanzadas para cuadernos de Jupyter Notebook y MSTICPy en Microsoft Sentinel
- Cree su primer cuaderno Microsoft Sentinel (Serie de Blog)
- Tutorial de cuaderno del Explorador de hosts de Linux (blog)
Contenido relacionado
Para más información, consulte: