Exploración del código del cuaderno
En los siguientes bloques de código del cuaderno "Guía de introducción a los cuadernos de aprendizaje automático de Microsoft Sentinel", se proporciona un ejemplo representativo de cómo trabajar con datos de Microsoft Sentinel.
Bloque de código
En este fragmento de código:
Cree una variable [test_query] que contenga la consulta KQL.
A continuación, ejecute la consulta [qry_prov.exec_query ()]. Aquí se emplea la biblioteca msticpy para ejecutar la consulta KQL en el área de trabajo relacionada de Log Analytics de Microsoft Sentinel. Los resultados se almacenan en la variable [test_df].
A continuación, muestre las cinco primeras filas con la función xxx_xxxx.head().
Bloque de código
En este fragmento de código:
Cree una función llamada lookup_res que toma una fila de variables.
A continuación, guarde la dirección IP almacenada en la fila en la variable [ip].
La siguiente línea de código usa la función msticpy [ti.lookup_ioc()] para consultar la tabla ThreatIntelligenceIndicator en busca de una fila procedente de VirusTotal con una dirección IP coincidente.
A continuación, la función msticpy [ti.result_to_df()] devolverá una representación de dataframe de respuesta.
La nueva función devuelve la gravedad de la dirección IP.
Bloque de código
En este fragmento de código:
Cree una variable [vis_q] que contenga la consulta KQL.
A continuación, ejecute la consulta [qry_prov.exec_query ()]. Aquí se emplea la biblioteca msticpy para ejecutar la consulta KQL en el área de trabajo relacionada de Log Analytics de Microsoft Sentinel. Los resultados se almacenan en la variable [vis_data].
A continuación, [qry_prov.exec_query()] devuelve un elemento DataFrame de pandas que proporciona características de visualización. Luego, trazará un gráfico de barras con las direcciones IP únicas y el número de veces que se usaron en las cinco primeras entradas del dataframe.
