Partage via


Notebooks Jupyter avec les fonctionnalités de repérer Microsoft Sentinel

Les notebooks Jupyter combinent une programmabilité totale à une vaste collection de bibliothèques pour l’apprentissage automatique, la visualisation et l’analyse des données. Ces attributs transforment Jupyter en un outil essentiel pour les scénarios de recherche et d’enquête relatifs à la sécurité.

Microsoft Sentinel repose sur le magasin de données. Il associe des capacités d’interrogation hautes performances et un schéma dynamique et s’adapte à des volumes importants de données. Le portail Azure et tous les outils Microsoft Sentinel utilisent une API commune pour accéder à ce magasin de données. La même API est également disponible pour les outils externes tels que les notebooks Jupyter et Python.

Important

Microsoft Sentinel est désormais en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft du portail Microsoft Defender. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.

Quand utiliser de notebooks Jupyter

Bien que de nombreuses tâches courantes puissent être effectuées dans le portail, Jupyter étend l’étendue de ce que vous pouvez faire avec ces données.

Par exemple, utilisez les notebooks pour :

  • Effectuer des analyses qui ne sont pas fournies prêtes à l’emploi dans Microsoft Sentinel, telles que certaines fonctionnalités de Machine Learning Python
  • Créer des visualisations de données qui ne sont pas fournies prêtes à l’emploi dans Microsoft Sentinel, telles que des chronologies personnalisées et des arborescences de processus
  • Intégrer des sources de données qui ne proviennent pas de Microsoft Sentinel, telles qu’un jeu de données local

Nous avons intégré l’expérience de Jupyter dans le Portail Azure, pour que vous puissiez créer, puis exécuter facilement des notebooks pour analyser vos données. La bibliothèque Kqlmagic fournit le ciment qui vous permet d’extraire des requêtes en langage de requête Kusto (KQL) de Microsoft Sentinel, puis de les exécuter directement dans un notebook.

Plusieurs notebooks, développés par certains des analystes de sécurité de Microsoft, sont intégrés à Microsoft Sentinel :

  • Quelques-uns d’entre eux sont conçus pour un scénario spécifique et peuvent être utilisés en tant que tel.
  • D’autres sont des exemples pour illustrer les techniques et les fonctionnalités que vous pouvez copier ou adapter pour les utiliser dans vos propres notebooks.

Importez d’autres notebooks du référentiel GitHub de Microsoft Sentinel.

Fonctionnement des notebooks Jupyter

Notebooks a deux composants :

  • L’interface basée sur un navigateur où vous entrez et exécutez des requêtes et du code, et où les résultats de l’exécution sont affichés.
  • Un **noyau* qui est responsable de l’analyse et de l’exécution du code.

Le noyau du notebook Microsoft Sentinel s’exécute sur une machine virtuelle Azure. L’instance de machine virtuel peut prendre en charge l’exécution de plusieurs notebooks à la fois. Si vos notebooks incluent des modèles Machine Learning complexes, plusieurs options de licence existent pour utiliser des machines virtuelles plus puissantes.

Comprendre les packages Python

Les notebooks Microsoft Sentinel utilisent de nombreuses bibliothèques Python populaires telles que pandas, matplotlib, bokeh et bien d’autres. Vous avez le choix entre un grand nombre d’autres packages Python, couvrant des domaines tels que ceux énoncés ci-dessous :

  • visualisations et graphiques
  • traitement de données et analyse
  • statistiques et calculs numériques
  • Machine Learning et Deep Learning

Pour éviter d’avoir à saisir ou coller du code complexe et répétitif dans les cellules d’un notebook, la plupart des notebooks Python s’appuient sur des bibliothèques tierces appelées packages. Pour utiliser un package dans un notebook, vous devez à la fois installer et importer le package. Les packages les plus courants sont préinstallés dans Capacité de calcul Azure Machine Learning. Assurez-vous d’importer le package, ou la partie correspondante du package, comme un module, un fichier, une fonction ou une classe.

Les notebooks Microsoft Sentinel utilisent un package Python appelé MSTICPy, qui est une collection d’outils de cybersécurité pour l’extraction, l’analyse, l’enrichissement et la visualisation de données.

Les outils de MSTICPy sont conçus spécialement pour faciliter la création de notebooks pour la chasse et l’investigation, et nous travaillons activement pour vous proposer de nouvelles fonctionnalités et améliorations. Pour plus d'informations, consultez les pages suivantes :

Rechercher des notebooks

Dans Microsoft Sentinel, sélectionnez Notebooks pour afficher les notebooks fournis par Microsoft Sentinel. Découvrez l’utilisation des notebooks dans la chasse et l’investigation des menace en explorant certains modèles de notebook comme Analyse des informations d’identification dans Azure Log Analytics et Investigation guidée - Traiter les alertes.

Pour plus de blocs-notes créés par Microsoft ou fournis par la communauté, accédez au référentiel Microsoft Sentinel GitHub. Utilisez les notebooks partagés dans le référentiel GitHub de Microsoft Sentinel comme des outils utiles, des illustrations et des exemples de code que vous pouvez utiliser lors du développement de vos propres notebooks.

  • Le répertoire Sample-Notebooks comprend des exemples de notebook enregistrés avec des données que vous pouvez utiliser pour afficher la sortie prévue.

  • Le répertoire HowTos comprend des notebooks qui décrivent des concepts tels que la définition de la version par défaut de Python, la création de signets Microsoft Sentinel à partir d’un notebook, et bien plus encore.

Gérer l’accès aux notebooks Microsoft Sentinel

Pour utiliser les notebooks Jupyter dans Microsoft Sentinel, vous devez d’abord disposer des autorisations appropriées, en fonction de votre rôle utilisateur.

Bien que vous puissiez exécuter les notebooks Microsoft Sentinel dans JupyterLab ou Jupyter classic, dans Microsoft Sentinel, les notebooks s’exécutent sur une plateforme Azure Machine Learning. Pour exécuter des notebooks dans Microsoft Sentinel, vous devez disposer d’un accès approprié à l’espace de travail Microsoft Sentinel et à un espace de travail Azure Machine Learning.

Autorisation Description
Autorisations Microsoft Sentinel Comme pour les autres ressources Microsoft Sentinel, pour accéder aux notebooks sur le panneau Notebooks Microsoft Sentinel, un rôle Lecteur Microsoft Sentinel, Répondeur Microsoft Sentinel ou Contributeur Microsoft Sentinel est nécessaire.

Pour plus d’informations, consultez Autorisations dans Microsoft Sentinel.
Autorisations d’Azure Machine Learning Un espace de travail Azure Machine Learning est une ressource Azure. Comme toute autre ressource Azure, la création d'un espace de travail Azure Machine Learning s'accompagne de rôles par défaut. Vous pouvez ajouter des utilisateurs à l’espace de travail et leur attribuer un de ces rôles intégrés. Pour plus d’informations, voir Rôles par défaut Azure Machine Learning et Rôles intégrés Azure.

Important : L'accès en fonction du rôle peut être limité à plusieurs niveaux dans Azure. Par exemple, un utilisateur disposant d’un accès propriétaire à un espace de travail peut ne pas disposer d'un accès propriétaire à un groupe de ressources contenu dans cet espace de travail. Pour plus d’informations, consultez Fonctionnement du contrôle d’accès en fonction du rôle Azure (Azure RBAC).

Si vous êtes propriétaire d’un espace de travail Azure ML, vous pouvez ajouter et supprimer des rôles pour cet espace de travail et assigner des rôles aux utilisateurs. Pour plus d'informations, consultez les pages suivantes :
- Portail Azure
- PowerShell
- Interface de ligne de commande Azure
- REST API
- Modèles Azure Resource Manager
- Interface CLI Azure Machine Learning

Si les rôles intégrés ne suffisent pas, vous pouvez également créer des rôles personnalisés. Les rôles personnalisés peuvent disposer d'autorisations en lecture, écriture, suppression et calcul dans cet espace de travail. Vous pouvez rendre le rôle disponible au niveau d’un espace de travail spécifique, d’un groupe de ressources spécifique ou d’un abonnement spécifique. Pour plus d'informations, consultez Créer un rôle personnalisé.

Envoyer des commentaires pour un notebook

Envoyez des commentaires, des requêtes de fonctionnalités, des rapports de bogues ou des améliorations apportées aux notebooks existants. Rendez-vous sur le référentiel GitHub de Microsoft Sentinel pour créer un problème ou dupliquer (fork), puis charger une contribution.

Pour obtenir des blogs, des vidéos et d’autres ressources, veuillez consultez les documents suivants :