Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment exécuter le guide de prise en main du notebook Microsoft Sentinel ML Notebooks , qui configure des configurations de base pour l’exécution de notebooks Jupyter dans Microsoft Sentinel et fournit des exemples d’exécution de requêtes simples.
Le guide de prise en main du notebook Microsoft Sentinel ML utilise MSTICPy, une bibliothèque Python puissante conçue pour améliorer les enquêtes de sécurité et la chasse aux menaces dans les notebooks Microsoft Sentinel. Il fournit des outils intégrés pour l’enrichissement des données, la visualisation, la détection des anomalies et les requêtes automatisées, ce qui aide les analystes à rationaliser leur flux de travail sans codage personnalisé étendu.
Pour plus d’informations, consultez Utiliser des notebooks pour dynamiser l’investigation et Utiliser des notebooks Jupyter pour rechercher des menaces de sécurité.
Important
Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Prérequis
Avant de commencer, vérifiez que vous disposez des autorisations et des ressources requises.
| Prérequis | Descriptif |
|---|---|
| Autorisations | Pour utiliser des notebooks dans Microsoft Sentinel, assurez-vous de disposer des autorisations requises. Pour plus d’informations, consultez Gérer l’accès aux notebooks Microsoft Sentinel. |
| Python | Pour effectuer les étapes de cet article, vous avez besoin de Python 3.6 ou d’une version ultérieure. Dans Azure Machine Learning, vous pouvez utiliser un noyau Python 3.8 (recommandé) ou un noyau Python 3.6. Si vous utilisez le notebook décrit dans cet article dans un autre environnement Jupyter, vous pouvez utiliser n’importe quel noyau prenant en charge Python 3.6 ou d’une version ultérieure. Pour utiliser des notebooks MSTICPy en dehors de Microsoft Sentinel et d’Azure Machine Learning (ML), vous devez également configurer votre environnement Python. Installez Python 3.6 ou version ultérieure avec la distribution Anaconda, qui comprend un grand nombre des packages requis. |
| MaxMind GeoLite2 | Ce notebook utilise le service de recherche de géolocalisation MaxMind GeoLite2 pour les adresses IP. Pour utiliser le service MaxMind GeoLite2, vous avez besoin d’une clé de licence. Vous pouvez vous inscrire pour obtenir un compte gratuit et une clé sur la page d’inscription à MaxMind. |
| VirusTotal | Ce notebook utilise VirusTotal (VT) comme source de renseignement sur les menaces. Pour utiliser la recherche de renseignements sur les menaces VirusTotal, vous avez besoin d’un compte VirusTotal et d’une clé API. Si vous utilisez une clé d’entreprise VT, stockez-la dans un coffre de clés Azure au lieu du fichier msticpyconfig.yaml . Pour plus d’informations, consultez Spécifier des secrets en tant que secrets Key Vault dans la documentation MSTICPY. Si vous ne souhaitez pas configurer un Azure Key Vault pour le moment, inscrivez-vous et utilisez un compte gratuit jusqu’à ce que vous puissiez configurer le stockage Key Vault. |
Installer et exécuter le bloc-notes Guide de prise en main
Cette procédure explique comment lancer votre notebook avec Microsoft Sentinel.
Pour Microsoft Sentinel dans le portail Defender, sélectionnez Microsoft Sentinel>Gestion des menaces>Notebooks. Dans Microsoft Sentinel, dans le Portail Microsoft Azure, sous Gestion du menaces, sélectionnez Notebooks.
Sous l’onglet Modèles, sélectionnez Un guide de prise en main pour les notebooks Microsoft Sentinel ML.
Sélectionnez Créer à partir d’un modèle.
Modifiez le nom et sélectionnez l’espace de travail Azure Machine Learning le cas échéant.
Sélectionnez Enregistrer pour l’enregistrer dans votre espace de travail Azure Machine Learning.
Sélectionnez Lancer le notebook pour exécuter le notebook. Le notebook contient une série de cellules :
- Les cellules Markdown contiennent du texte et des graphiques avec des instructions sur l’utilisation du notebook
- Les cellules Code contiennent du code exécutable qui exécute les fonctions de notebook
En haut de la page, sélectionnez votre Calcul.
Continuez en lisant les cellules Markdown et en exécutant des cellules de code dans l’ordre, en suivant les instructions du bloc-notes. Les cellules ignorées ou exécutées dans le désordre peuvent provoquer des erreurs plus tard dans le notebook.
Selon la fonction en cours d’exécution, le code de la cellule peut s’exécuter rapidement ou prendre un certain temps. Lorsque la cellule est en cours d’exécution, le bouton de lecture se transforme en une roue de chargement et l’état est affiché au bas de la cellule, ainsi que le temps écoulé.
La première fois que vous exécutez une cellule de code, cela peut prendre plusieurs minutes pour démarrer la session, en fonction de vos paramètres de calcul. Une indication Prête s’affiche lorsque le notebook est prêt à exécuter des cellules de code. Par exemple :
Le guide de prise en main du notebook Microsoft Sentinel ML Notebooks comprend des sections pour les activités suivantes :
| Nom | Descriptif |
|---|---|
| Introduction | Décrivez les concepts de base des blocs-notes et fournissez des exemples de code que vous pouvez exécuter pour voir comment fonctionnent les blocs-notes. |
| Initialisation du notebook et MSTICPy | Vous aide à préparer votre environnement pour exécuter le reste du bloc-notes. Lors de l’initialisation du bloc-notes, les avertissements de configuration concernant les paramètres manquants sont attendus, car vous n’avez pas encore configuré quoi que ce soit. |
| Interrogation de données à partir de Microsoft Sentinel | Vous aide à vérifier, configurer et tester les paramètres De Microsoft Sentinel. Utilisez le code de cette section pour vous authentifier auprès de Microsoft Sentinel et exécuter un exemple de requête pour tester la connexion. |
| Configurer et tester des fournisseurs de données externes (VirusTotal et Maxmind GeoLite2) | Vous aide à configurer les paramètres de VirusTotal, en tant qu’exemple de service de renseignement sur les menaces et MaxMind GeoLite2, en tant qu’exemple de service de recherche de localisation géographique. Utilisez le code de cette section pour exécuter des exemples de requêtes sur ces fournisseurs de données pour les tester. |
Le code du Guide de prise en main des notebooks Microsoft Sentinel ML lance l’outil MpConfigEdit , qui comporte une série d’onglets pour la configuration de votre environnement de notebook. Lorsque vous apportez des modifications dans l’outil MpConfigEdit , veillez à enregistrer vos modifications avant de continuer. Les paramètres du notebook sont stockés dans le fichier msticpyconfig.yaml , qui est automatiquement rempli avec les détails initiaux de votre espace de travail.
Veillez à lire attentivement les cellules markdown afin que vous compreniez complètement le processus, y compris chacun des paramètres et le fichier msticpyconfig.yaml . Les étapes suivantes, les ressources supplémentaires et la FAQ du wiki Azure Sentinel Notebooks sont accessibles depuis la fin du notebook.
Personnaliser vos requêtes (facultatif)
Le guide de prise en main du bloc-notes Microsoft Sentinel ML fournit des exemples de requêtes que vous pouvez utiliser lors de l’apprentissage des blocs-notes. Personnalisez les requêtes intégrées en ajoutant davantage de logique de requête ou exécutez des requêtes complètes à l’aide de la exec_query fonction. Par exemple, la plupart des requêtes intégrées prennent en charge le paramètre add_query_items, que vous pouvez utiliser pour ajouter des filtres ou d’autres opérations aux requêtes.
Exécutez la cellule de code suivante pour ajouter une trame de données qui résume le nombre d’alertes par nom d’alerte :
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Transmettez une chaîne de requête KQL (Kusto Query Language) complète au fournisseur de requêtes. La requête s’exécute sur l’espace de travail connecté, et les données sont retournées en tant que DataFrame Panda. Exécutez :
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Pour plus d'informations, consultez les pages suivantes :
Appliquer des directives à d’autres notebooks
Les étapes de cet article décrivent comment exécuter le notebook Guide de prise en main pour notebooks ML Microsoft Sentinel dans votre espace de travail Azure Machine Learning via Microsoft Sentinel. Vous pouvez également utiliser cet article comme une aide pour effectuer des étapes similaires afin d’exécuter des notebooks dans d’autres environnements, y compris localement.
Plusieurs notebooks Microsoft Sentinel n’utilisent pas MSTICPy, tels que les notebooks d’analyse des informations d’identification, ni les exemples PowerShell et C#. Les notebooks qui n’utilisent pas MSTICpy n’ont pas besoin de la configuration MSTICPy décrite dans cet article.
Essayez d’autres notebooks Microsoft Sentinel, tels que :
- Configuration de votre environnement Notebook
- Aperçu des fonctionnalités du notebook Cybersec
- Exemples d'Apprentissage automatique dans des carnets
- La série Entity Explorer , y compris les variantes pour les comptes, les domaines et les URL, les adresses IP et les hôtes Linux ou Windows.
Pour plus d'informations, consultez les pages suivantes :
- Notebooks Jupyter avec fonctionnalités de repérage Microsoft Sentinel
- Configurations avancées pour les notebooks Jupyter et MSTICPy dans Microsoft Sentinel
- Créer votre premier notebook Microsoft Sentinel (série de blog)
- Procédure pas-à-pas du bloc-notes Linux Host Explorer (Blog)
Contenu connexe
Pour plus d'informations, consultez les pages suivantes :