Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo ejecutar la guía de Introducción para Microsoft Sentinel cuadernos de ML Notebooks, que configura configuraciones básicas para ejecutar cuadernos de Jupyter Notebook en Microsoft Sentinel y proporciona ejemplos para ejecutar consultas sencillas.
La guía de Introducción para Microsoft Sentinel cuadernos de ML notebooks usa MSTICPy, una eficaz biblioteca de Python diseñada para mejorar las investigaciones de seguridad y la búsqueda de amenazas en Microsoft Sentinel cuadernos. Proporciona herramientas integradas para el enriquecimiento de datos, la visualización, la detección de anomalías y las consultas automatizadas, lo que ayuda a los analistas a simplificar su flujo de trabajo sin una amplia codificación personalizada.
Para obtener más información, consulte Uso de cuadernos para impulsar investigaciones y Uso de cuadernos de Jupyter Notebook para buscar amenazas de seguridad.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Requisitos previos
Antes de empezar, asegúrese de que tiene los permisos y recursos necesarios.
| Requisito previo | Description |
|---|---|
| Permisos | Para usar cuadernos en Microsoft Sentinel, asegúrese de que tiene los permisos necesarios. Para obtener más información, consulte Administración del acceso a Microsoft Sentinel cuadernos. |
| Python | Para realizar los pasos de este artículo, necesita Python 3.6 o posterior. En Azure Machine Learning, puede usar un kernel de Python 3.8 (recomendado) o un kernel de Python 3.6. Si usa el cuaderno descrito en este artículo en otro entorno de Jupyter, puede usar cualquier kernel que admita Python 3.6 o posterior. Para usar cuadernos de MSTICPy fuera de Microsoft Sentinel y Azure Machine Learning (ML), también debe configurar el entorno de Python. Instale Python 3.6 o posterior con la distribución anaconda, que incluye muchos de los paquetes necesarios. |
| MaxMind GeoLite2 | Este cuaderno usa el servicio de búsqueda de geolocalización MaxMind GeoLite2 para las direcciones IP. Para usar el servicio MaxMind GeoLite2, necesita una clave de licencia. Puede registrarse para obtener una cuenta gratuita y una clave en la página de registro de Maxmind. |
| VirusTotal | Este cuaderno usa VirusTotal (VT) como origen de inteligencia sobre amenazas. Para usar la búsqueda de Inteligencia sobre amenazas de VirusTotal, necesita una cuenta de VirusTotal y una clave de API. Si usa una clave empresarial vt, almacénela una Azure Key Vault en lugar del archivo msticpyconfig.yaml. Para obtener más información, vea Especificar secretos como Key Vault secretos en la documentación de MSTICPY. Si no desea configurar una Azure Key Vault en este momento, regístrese y use una cuenta gratuita hasta que pueda configurar Key Vault almacenamiento. |
Instalación y ejecución del cuaderno de Introducción Guide
En este procedimiento se describe cómo iniciar el cuaderno con Microsoft Sentinel.
Para Microsoft Sentinel en el portal de Defender, seleccione Microsoft Sentinel>Notebooks de administración> deazure. Para Microsoft Sentinel en el Azure Portal, en Administración de amenazas, seleccione Cuadernos.
En la pestaña Plantillas, seleccione A Introducción Guide For Microsoft Sentinel ML Notebooks .
Seleccione Crear a partir de la plantilla.
Edite el nombre y seleccione el área de trabajo Azure Machine Learning según corresponda.
Seleccione Guardar para guardarlo en el área de trabajo Azure Machine Learning.
Seleccione Iniciar cuaderno para ejecutar el cuaderno. El cuaderno contiene una serie de celdas:
- Las celdas de Markdown contienen texto y gráficos con instrucciones para usar el cuaderno
- Las celdas de código contienen código ejecutable que realiza las funciones del cuaderno
En la parte superior de la página, seleccione el proceso.
Para continuar, lea las celdas de Markdown y ejecute las celdas de código en orden, con las instrucciones del cuaderno. Si se omiten celdas o se ejecutan fuera de orden, podrían producirse errores más adelante en el cuaderno.
En función de la función que se realice, el código de la celda podría ejecutarse rápidamente o puede tardar algún tiempo en completarse. Cuando se ejecuta la celda, el botón de reproducción cambia a un spinner de carga y el estado se muestra en la parte inferior de la celda, junto con el tiempo transcurrido.
La primera vez que ejecute una celda de código, puede que transcurra unos minutos para iniciar la sesión, en función de la configuración de proceso. Se muestra una indicación Ready cuando el cuaderno está listo para ejecutar celdas de código. Por ejemplo:
La guía de Introducción para Microsoft Sentinel cuaderno de cuadernos de ML incluye secciones para las siguientes actividades:
| Nombre | Descripción |
|---|---|
| Introducción | Describir los conceptos básicos del cuaderno y proporciona código de ejemplo que puede ejecutar para ver cómo funcionan los cuadernos. |
| Inicialización del cuaderno y MSTICPy | Ayuda a preparar el entorno para ejecutar el resto del cuaderno. Al inicializar el cuaderno, se esperan advertencias de configuración sobre la falta de configuración porque aún no ha configurado nada. |
| Consulta de datos desde Microsoft Sentinel | Le ayuda a comprobar, configurar y probar los valores de Microsoft Sentinel. Use el código de esta sección para autenticarse para Microsoft Sentinel y ejecutar una consulta de ejemplo para probar la conexión. |
| Configuración y prueba de proveedores de datos externos (VirusTotal y Maxmind GeoLite2) | Le ayuda a configurar los valores de VirusTotal, como servicio de inteligencia sobre amenazas de ejemplo, y MaxMind GeoLite2, como un servicio de búsqueda de ubicación geográfica de ejemplo. Use el código de esta sección para ejecutar consultas de ejemplo en estos proveedores de datos para probarlas. |
El código de Introducción Guide For Microsoft Sentinel ML Notebooks inicia la herramienta MpConfigEdit, que tiene una serie de pestañas para configurar el entorno del cuaderno. A medida que realice cambios en la herramienta MpConfigEdit , asegúrese de guardar los cambios antes de continuar. La configuración del cuaderno se almacena en el archivo msticpyconfig.yaml , que se rellena automáticamente con los detalles iniciales del área de trabajo.
Asegúrese de leer detenidamente las celdas de Markdown para comprender el proceso por completo, incluida cada una de las configuraciones y el archivo msticpyconfig.yaml . Los pasos siguientes, los recursos adicionales y las preguntas más frecuentes de la wiki de cuadernos de Azure Sentinel están vinculados desde el final del cuaderno.
Personalización de las consultas (opcional)
La guía de Introducción para Microsoft Sentinel cuadernos de ML Notebooks proporciona consultas de ejemplo que puede usar al aprender sobre cuadernos. Personalice las consultas integradas agregando más lógica de consulta o ejecutando consultas completas mediante la exec_query función . Por ejemplo, la mayoría de las consultas integradas admiten el add_query_items parámetro , que puede usar para anexar filtros u otras operaciones a las consultas.
Ejecute la siguiente celda de código para agregar una trama de datos que resuma el número de alertas por nombre de alerta:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Pase una cadena de consulta de Lenguaje de consulta Kusto completa (KQL) al proveedor de consultas. La consulta se ejecuta en el área de trabajo conectada y los datos se devuelven como un dataframe panda. Ejecute:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Para más información, vea:
Aplicación de instrucciones a otros cuadernos
En los pasos de este artículo se describe cómo ejecutar el cuaderno Introducción Guide for Microsoft Sentinel ML Notebooks en el área de trabajo de Azure Machine Learning a través de Microsoft Sentinel. También puede usar este artículo como guía para realizar pasos similares para ejecutar cuadernos en otros entornos, incluidos los locales.
Varios cuadernos de Microsoft Sentinel no usan MSTICPy, como los cuadernos de Credential Scanner o los ejemplos de PowerShell y C#. Los cuadernos que no usan MSTICpy no necesitan la configuración de MSTICPy descrita en este artículo.
Pruebe otros cuadernos de Microsoft Sentinel, como:
- Configuración del entorno de Notebook
- Un paseo por las características del cuaderno de Cybersec
- Ejemplos de Machine Learning en cuadernos
- La serie Entity Explorer, incluidas las variaciones de cuentas, dominios y direcciones URL, direcciones IP y hosts de Linux o Windows.
Para más información, vea:
- Cuadernos de Jupyter Notebook con funcionalidades de búsqueda de Microsoft Sentinel
- Configuraciones avanzadas para cuadernos de Jupyter Notebook y MSTICPy en Microsoft Sentinel
- Crear el primer cuaderno de Microsoft Sentinel (serie de blogs)
- Linux tutorial del cuaderno de Host Explorer (Blog)
Contenido relacionado
Para más información, vea: