Los blocs de notas Jupyter con capacidades de búsqueda de Microsoft Sentinel

Los cuadernos de Jupyter Notebook combinan la programación completa con una vasta colección de bibliotecas pensadas para el análisis de datos, la visualización y el aprendizaje automático. Estas características hacen que Jupyter sea una herramienta fascinante para la búsqueda e investigación relacionadas con cuestiones de seguridad.

La base de Microsoft Sentinel es el almacén de datos; este combina consultas de alto rendimiento y esquemas dinámicos, y tiene capacidad para escalar a volúmenes de datos masivos. Azure Portal y todas las herramientas de Microsoft Sentinel emplean una API común para acceder a este almacén de datos. Esta misma API está disponible también para herramientas externas, como los cuadernos de Jupyter y Python.

Importante

Microsoft Sentinel está disponible como parte de la versión preliminar pública de la plataforma unificada de operaciones de seguridad en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Momentos de uso de los cuadernos de Jupyter Notebook

Mientras que muchas tareas comunes pueden llevarse a cabo en el portal, Jupyter amplía las posibilidades de lo que se puede hacer con estos datos.

Por ejemplo, use cuadernos para:

  • Realizar análisis que Microsoft Sentinel no ofrece de forma predeterminada, como algunas funciones de aprendizaje automático de Python
  • Cree visualizaciones de datos que Microsoft Sentinel no ofrece de forma predeterminada, como líneas de tiempo personalizadas y árboles de procesos
  • Integrar orígenes de datos fuera de Microsoft Sentinel, como un conjunto de datos local.

Hemos integrado la experiencia Jupyter en el Azure portal, lo que facilita la creación y ejecución de blocs de notas para analizar sus datos. La librería Kqlmagic proporciona la adherencia que le permite tomar consultas Lenguaje de consulta Kusto (KQL) de Microsoft Sentinel y ejecutarlas directamente dentro de un cuaderno.

Microsoft Sentinel incluye varios cuadernos, desarrollados por algunos de los analistas de seguridad de Microsoft:

  • Algunos de estos cuadernos se crean para escenarios concretos y se pueden usar tal cual;
  • otros se incluyen como ejemplos para ilustrar las técnicas y características que se pueden copiar o adaptar para usarlas en sus propios cuadernos,

Importar otros blocs de notas del repositorio GitHub de Microsoft Sentinel.

Funcionamiento de los cuadernos de Jupyter Notebook

Los cuadernos constan de dos componentes:

  • La interfaz basada en explorador donde se escriben y ejecutan las consultas y el código, y donde se muestran los resultados de la ejecución.
  • Un kernel, responsable de analizar y ejecutar el código en sí.

El kernel del cuaderno de Microsoft Sentinel se ejecuta en una máquina virtual de Azure. La instancia de la máquina virtual puede admitir la ejecución de muchos cuadernos a la vez. Existen varias opciones de licencia para aprovechar las máquinas virtuales más eficaces si los cuadernos incluyen modelos de aprendizaje automático complejos.

Descripción de los paquetes de Python

Los cuadernos de Microsoft Sentinel usan muchas bibliotecas de Python conocidas, como pandas, matplotlib y bokeh, entre otras. Existen otros muchos paquetes de Python que se pueden elegir, que cubren áreas como las siguientes:

  • Visualizaciones y gráficos
  • Procesamiento de datos y análisis
  • Estadísticas y computación numérica
  • Aprendizaje automático y aprendizaje profundo

Para evitar tener que escribir o pegar código complejo y repetitivo en las celdas del cuaderno, la mayoría de los cuadernos de Python se basan en bibliotecas de terceros denominadas paquetes. Para usar un paquete en un cuaderno, debe instalarlo e importarlo. Proceso de Azure Machine Learning tiene preinstalados los paquetes más comunes. Asegúrese de importar el paquete o la parte pertinente del paquete, como un módulo, un archivo, una función o una clase.

En los cuadernos de Microsoft Sentinel se usa un paquete de Python denominado MSTICPy, que es una colección de herramientas de ciberseguridad para la recuperación, el análisis, el enriquecimiento y la visualización de datos.

Las herramientas de MSTICPy están diseñadas expresamente para facilitar la creación de cuadernos que se puedan usar en búsquedas e investigaciones, y estamos trabajando activamente en nuevas características y mejoras. Para más información, consulte:

Búsqueda de cuadernos

En Microsoft Sentinel, seleccione Blocs de notas para ver los blocs de notas que proporciona Microsoft Sentinel. Obtenga más información sobre el uso de blocs de notas en la búsqueda e investigación de amenazas explorando plantillas de blocs de notas como Análisis de credenciales en Azure Log Analytics y Investigación guiada - Alertas de proceso.

Para más cuadernos creados por Microsoft o aportados por la comunidad, vaya al repositorio de GitHub de Microsoft Sentinel. Otros cuadernos compartidos del repositorio de GitHub de Microsoft Sentinel son herramientas, ilustraciones y ejemplos de código útiles que puede usar al desarrollar sus propios cuadernos.

  • El directorio Sample-Notebooks incluye cuadernos de ejemplo que se guardan con datos que puede usar para mostrar la salida deseada.

  • El directorio HowTos incluye cuadernos que describen conceptos como la configuración de la versión predeterminada de Python, la creación de marcadores de Microsoft Sentinel a partir de un cuaderno, etc.

Administración del acceso a los cuadernos de Microsoft Sentinel

Para usar los cuadernos de Jupyter Notebook en Microsoft Sentinel, primero debe tener los permisos adecuados, en función del rol de usuario.

Aunque puede ejecutar blocs de notas de Microsoft Sentinel en JupyterLab o Jupyter classic, en Microsoft Sentinel, los blocs de notas se ejecutan en una plataforma de Azure Machine Learning. Para ejecutar blocs de notas en Microsoft Sentinel, debe tener acceso adecuado tanto al área de trabajo de Microsoft Sentinel como a un área de trabajo de Azure Machine Learning.

Permiso Descripción
Permisos de Microsoft Sentinel Al igual que otros recursos de Microsoft Sentinel, para acceder a los blocs de notas en Microsoft Sentinel, se requiere una función de Microsoft Sentinel Reader, Microsoft Sentinel Responder o Microsoft Sentinel Contributor.

Para más información, consulte Permisos de Microsoft Sentinel.
Permisos de Azure Machine Learning Un área de trabajo de Azure Machine Learning es un recurso de Azure. Al igual que otros recursos de Azure, cuando se crea un área de trabajo de Azure Machine Learning, viene con roles predeterminados. Puede agregar usuarios al área de trabajo y asignarlos a uno de estos roles integrados. Para más información, vea Roles predeterminados de Azure Machine Learning y Roles integrados de Azure.

Importante: El acceso de los roles puede tener un ámbito de varios niveles en Azure. Por ejemplo, alguien con acceso de propietario a un área de trabajo puede no tener acceso de propietario al grupo de recursos que contiene el área de trabajo. Para obtener más información, consulte Cómo funciona Azure RBAC.

Si es propietario de un área de trabajo de Azure Machine Learning, puede agregar y eliminar funciones para el área de trabajo y asignar funciones a los usuarios. Para más información, vea:
- Azure Portal
- PowerShell
- CLI de Azure
- API de REST
- Plantillas de Azure Resource Manager
- CLI de Azure Machine Learning

Si los roles integrados no son suficientes, también puede crear roles personalizados. Los roles personalizados pueden tener permisos para leer, escribir, eliminar y procesar recursos de ese área de trabajo. Puede hacer que el rol esté disponible en un nivel de área de trabajo específico, un nivel de grupo de recursos específico o un nivel de suscripción específico. Para más información, vea Creación de un rol personalizado.

Enviar comentarios para un bloc de notas

Envíe comentarios, solicitudes de funciones, informes de errores o mejoras de los blocs de notas existentes. Vaya al repositorio GitHub de Microsoft Sentinel para crear una incidencia, o haga una bifurcación y suba una contribución.

Para consultar blogs, vídeos y otros recursos, vea: