Notebooks Jupyter avec les fonctionnalités de repérer Microsoft Sentinel
Les notebooks Jupyter combinent une programmabilité totale à une vaste collection de bibliothèques pour l’apprentissage automatique, la visualisation et l’analyse des données. Ces attributs transforment Jupyter en un outil essentiel pour les scénarios de recherche et d’enquête relatifs à la sécurité.
Microsoft Sentinel repose sur le magasin de données. Il associe des capacités d’interrogation hautes performances et un schéma dynamique et s’adapte à des volumes importants de données. Le portail Azure et tous les outils Microsoft Sentinel utilisent une API commune pour accéder à ce magasin de données. La même API est également disponible pour les outils externes tels que les notebooks Jupyter et Python.
Important
Microsoft Sentinel est disponible comme partie de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Microsoft Sentinel dans le portail Microsoft Defender.
Quand utiliser de notebooks Jupyter
Bien que de nombreuses tâches courantes puissent être effectuées dans le portail, Jupyter étend l’étendue de ce que vous pouvez faire avec ces données.
Par exemple, utilisez les notebooks pour :
- Effectuer des analyses qui ne sont pas fournies prêtes à l’emploi dans Microsoft Sentinel, telles que certaines fonctionnalités de Machine Learning Python
- Créer des visualisations de données qui ne sont pas fournies prêtes à l’emploi dans Microsoft Sentinel, telles que des chronologies personnalisées et des arborescences de processus
- Intégrer des sources de données qui ne proviennent pas de Microsoft Sentinel, telles qu’un jeu de données local
Nous avons intégré l’expérience de Jupyter dans le Portail Azure, pour que vous puissiez créer, puis exécuter facilement des notebooks pour analyser vos données. La bibliothèque Kqlmagic fournit le ciment qui vous permet d’extraire des requêtes en langage de requête Kusto (KQL) de Microsoft Sentinel, puis de les exécuter directement dans un notebook.
Plusieurs notebooks, développés par certains des analystes de sécurité de Microsoft, sont intégrés à Microsoft Sentinel :
- Quelques-uns d’entre eux sont conçus pour un scénario spécifique et peuvent être utilisés en tant que tel.
- D’autres sont des exemples pour illustrer les techniques et les fonctionnalités que vous pouvez copier ou adapter pour les utiliser dans vos propres notebooks.
Importez d’autres notebooks du référentiel GitHub de Microsoft Sentinel.
Fonctionnement des notebooks Jupyter
Notebooks a deux composants :
- L’interface basée sur un navigateur où vous entrez et exécutez des requêtes et du code, et où les résultats de l’exécution sont affichés.
- Un **noyau* qui est responsable de l’analyse et de l’exécution du code.
Le noyau du notebook Microsoft Sentinel s’exécute sur une machine virtuelle Azure. L’instance de machine virtuel peut prendre en charge l’exécution de plusieurs notebooks à la fois. Si vos notebooks incluent des modèles Machine Learning complexes, plusieurs options de licence existent pour utiliser des machines virtuelles plus puissantes.
Comprendre les packages Python
Les notebooks Microsoft Sentinel utilisent de nombreuses bibliothèques Python populaires telles que pandas, matplotlib, bokeh et bien d’autres. Vous avez le choix entre un grand nombre d’autres packages Python, couvrant des domaines tels que ceux énoncés ci-dessous :
- visualisations et graphiques
- traitement de données et analyse
- statistiques et calculs numériques
- Machine Learning et Deep Learning
Pour éviter d’avoir à saisir ou coller du code complexe et répétitif dans les cellules d’un notebook, la plupart des notebooks Python s’appuient sur des bibliothèques tierces appelées packages. Pour utiliser un package dans un notebook, vous devez à la fois installer et importer le package. Les packages les plus courants sont préinstallés dans Capacité de calcul Azure Machine Learning. Assurez-vous d’importer le package, ou la partie correspondante du package, comme un module, un fichier, une fonction ou une classe.
Les notebooks Microsoft Sentinel utilisent un package Python appelé MSTICPy, qui est une collection d’outils de cybersécurité pour l’extraction, l’analyse, l’enrichissement et la visualisation de données.
Les outils de MSTICPy sont conçus spécialement pour faciliter la création de notebooks pour la chasse et l’investigation, et nous travaillons activement pour vous proposer de nouvelles fonctionnalités et améliorations. Pour plus d'informations, consultez les pages suivantes :
- Documentation relatives aux outils de sécurité MSTIC Jupyter et Python
- Prendre en main les notebooks Jupyter et MSTICPy dans Microsoft Sentinel
- Configurations avancées pour les notebooks Jupyter et MSTICPy dans Microsoft Sentinel
Rechercher des notebooks
Dans Microsoft Sentinel, sélectionnez Notebooks pour afficher les notebooks fournis par Microsoft Sentinel. Découvrez l’utilisation des notebooks dans la chasse et l’investigation des menace en explorant certains modèles de notebook comme Analyse des informations d’identification dans Azure Log Analytics et Investigation guidée - Traiter les alertes.
Pour plus de blocs-notes créés par Microsoft ou fournis par la communauté, accédez au référentiel Microsoft Sentinel GitHub. Utilisez les notebooks partagés dans le référentiel GitHub de Microsoft Sentinel comme des outils utiles, des illustrations et des exemples de code que vous pouvez utiliser lors du développement de vos propres notebooks.
Le répertoire
Sample-Notebookscomprend des exemples de notebook enregistrés avec des données que vous pouvez utiliser pour afficher la sortie prévue.Le répertoire
HowToscomprend des notebooks qui décrivent des concepts tels que la définition de la version par défaut de Python, la création de signets Microsoft Sentinel à partir d’un notebook, et bien plus encore.
Gérer l’accès aux notebooks Microsoft Sentinel
Pour utiliser les notebooks Jupyter dans Microsoft Sentinel, vous devez d’abord disposer des autorisations appropriées, en fonction de votre rôle utilisateur.
Bien que vous puissiez exécuter les notebooks Microsoft Sentinel dans JupyterLab ou Jupyter classic, dans Microsoft Sentinel, les notebooks s’exécutent sur une plateforme Azure Machine Learning. Pour exécuter des notebooks dans Microsoft Sentinel, vous devez disposer d’un accès approprié à l’espace de travail Microsoft Sentinel et à un espace de travail Azure Machine Learning.
| Autorisation | Description |
|---|---|
| Autorisations Microsoft Sentinel | Comme pour les autres ressources Microsoft Sentinel, pour accéder aux notebooks dans Microsoft Sentinel, un rôle Lecteur Microsoft Sentinel, Répondeur Microsoft Sentinel ou Contributeur Microsoft Sentinel est nécessaire. Pour plus d’informations, consultez Autorisations dans Microsoft Sentinel. |
| Autorisations d’Azure Machine Learning | Un espace de travail Azure Machine Learning est une ressource Azure. Comme toute autre ressource Azure, la création d'un espace de travail Azure Machine Learning s'accompagne de rôles par défaut. Vous pouvez ajouter des utilisateurs à l’espace de travail et leur attribuer un de ces rôles intégrés. Pour plus d’informations, voir Rôles par défaut Azure Machine Learning et Rôles intégrés Azure. Important : L'accès en fonction du rôle peut être limité à plusieurs niveaux dans Azure. Par exemple, un utilisateur disposant d’un accès propriétaire à un espace de travail risque de ne pas disposer d’un accès propriétaire à un groupe de ressources contenu dans cet espace de travail. Pour plus d’informations, consultez Fonctionnement du contrôle d’accès en fonction du rôle Azure (Azure RBAC). Si vous êtes propriétaire d’un espace de travail Azure Machine Learning, vous pouvez ajouter et supprimer des rôles pour cet espace de travail et assigner des rôles aux utilisateurs. Pour plus d’informations, consultez l’article suivant : - Portail Azure - PowerShell - Interface de ligne de commande Azure - REST API - Modèles Azure Resource Manager - Interface CLI Azure Machine Learning Si les rôles intégrés ne suffisent pas, vous pouvez également créer des rôles personnalisés. Les rôles personnalisés peuvent disposer d'autorisations en lecture, écriture, suppression et calcul dans cet espace de travail. Vous pouvez rendre le rôle disponible au niveau d’un espace de travail spécifique, d’un groupe de ressources spécifique ou d’un abonnement spécifique. Pour plus d'informations, consultez Créer un rôle personnalisé. |
Envoyer des commentaires pour un notebook
Envoyez des commentaires, des requêtes de fonctionnalités, des rapports de bogues ou des améliorations apportées aux notebooks existants. Rendez-vous sur le référentiel GitHub de Microsoft Sentinel pour créer un problème ou dupliquer (fork), puis charger une contribution.
Contenu connexe
- Rechercher les menaces de sécurité avec des notebooks Jupyter
- Prendre en main les notebooks Jupyter et MSTICPy dans Microsoft Sentinel
- Hunt for threats with in Azure Sentinel Preview (Rechercher des menaces dans Azure Sentinel en préversion)
- Effectuer le suivi des données pendant la chasse avec Microsoft Sentinel
Pour obtenir des blogs, des vidéos et d’autres ressources, veuillez consultez les documents suivants :
- Création de votre premier notebook Microsoft Azure Sentinel (série de blog)
- Tutoriel : Notebooks Microsoft Sentinel – Prise en main (vidéo)
- Tutoriel : modifier et exécuter des notebooks Jupyter sans quitter Azure Machine Learning studio (vidéo)
- Détecter les fuites d’informations d’identification à l’aide d’Azure Sentinel Notebooks (vidéo)
- Webinaire : notions de base des notebooks Microsoft Sentinel (vidéo)
- Jupyter, msticpy et Microsoft Sentinel