Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les notebooks Jupyter combinent une programmabilité complète avec une vaste collection de bibliothèques pour le Machine Learning, la visualisation et l’analyse des données. Ces attributs font de Jupyter un outil convaincant pour l’investigation de sécurité et la chasse.
La base de Microsoft Sentinel est le magasin de données ; il combine des requêtes hautes performances, un schéma dynamique et des mises à l’échelle pour des volumes de données massifs. Le Portail Azure et tous les outils Microsoft Sentinel utilisent une API commune pour accéder à ce magasin de données. La même API est également disponible pour les outils externes tels que les notebooks Jupyter et Python.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Quand utiliser les notebooks Jupyter
Bien que de nombreuses tâches courantes puissent être effectuées dans le portail, Jupyter étend l’étendue de ce que vous pouvez faire avec ces données.
Par exemple, utilisez des notebooks pour :
- Effectuer des analyses qui ne sont pas fournies prêtes à l’emploi dans Microsoft Sentinel, telles que certaines fonctionnalités de Machine Learning Python
- Créer des visualisations de données qui ne sont pas fournies prêtes à l’emploi dans Microsoft Sentinel, telles que des chronologies personnalisées et des arborescences de processus
- Intégrez des sources de données en dehors de Microsoft Sentinel, telles qu’un jeu de données local.
Nous avons intégré l’expérience Jupyter à la Portail Azure, ce qui vous permet de créer et d’exécuter facilement des notebooks pour analyser vos données. La bibliothèque Kqlmagic fournit le collage qui vous permet de prendre des requêtes Langage de requête Kusto (KQL) à partir de Microsoft Sentinel et de les exécuter directement dans un notebook.
Plusieurs notebooks, développés par certains analystes de sécurité de Microsoft, sont fournis avec Microsoft Sentinel :
- Certains de ces notebooks sont conçus pour un scénario spécifique et peuvent être utilisés tels quelles.
- D’autres sont destinés à illustrer des techniques et des fonctionnalités que vous pouvez copier ou adapter pour les utiliser dans vos propres notebooks.
Importez d’autres notebooks à partir du dépôt GitHub Microsoft Sentinel.
Fonctionnement des notebooks Jupyter
Les notebooks ont deux composants :
- Interface basée sur un navigateur, où vous entrez et exécutez des requêtes et du code, et où les résultats de l’exécution sont affichés.
- Noyau chargé de l’analyse et de l’exécution du code lui-même.
Le noyau du notebook Microsoft Sentinel s’exécute sur une machine virtuelle Azure. La machine virtuelle instance peut prendre en charge l’exécution de plusieurs notebooks à la fois. Si vos notebooks incluent des modèles Machine Learning complexes, plusieurs options de licence existent pour utiliser des machines virtuelles plus puissantes.
Comprendre les packages Python
Les notebooks Microsoft Sentinel utilisent de nombreuses bibliothèques Python populaires telles que pandas, matplotlib, bokeh et autres. Vous pouvez choisir parmi de nombreux autres packages Python, qui couvrent des domaines tels que :
- Visualisations et graphiques
- Traitement et analyse des données
- Statistiques et calcul numérique
- Machine Learning et deep learning
Pour éviter d’avoir à taper ou à coller du code complexe et répétitif dans des cellules de notebook, la plupart des notebooks Python s’appuient sur des bibliothèques tierces appelées packages. Pour utiliser un package dans un notebook, vous devez installer et importer le package. Azure Machine Learning Compute a les packages les plus courants préinstallés. Veillez à importer le package ou la partie appropriée du package, telle qu’un module, un fichier, une fonction ou une classe.
Microsoft Sentinel notebooks utilisent un package Python appelé MSTICPy, qui est une collection d’outils de cybersécurité pour la récupération, l’analyse, l’enrichissement et la visualisation des données.
Les outils MSTICPy sont conçus spécifiquement pour vous aider à créer des notebooks pour la chasse et l’investigation, et nous travaillons activement sur de nouvelles fonctionnalités et améliorations. Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Documentation sur les outils de sécurité MSTIC Jupyter et Python
- Bien démarrer avec les notebooks Jupyter et MSTICPy dans Microsoft Sentinel
- Configurations avancées pour les notebooks Jupyter et MSTICPy dans Microsoft Sentinel
Rechercher des blocs-notes
Dans Microsoft Sentinel, sélectionnez Notebooks pour afficher les blocs-notes que Microsoft Sentinel fournit. Apprenez-en davantage sur l’utilisation des notebooks dans la chasse et l’investigation des menaces en explorant des modèles de notebook tels que l’analyse des informations d’identification sur Azure Log Analytics et l’investigation guidée - Traiter les alertes.
Pour obtenir d’autres notebooks créés par Microsoft ou fournis par la communauté, accédez à Microsoft Sentinel dépôt GitHub. Utilisez des notebooks partagés dans le dépôt GitHub Microsoft Sentinel comme outils utiles, illustrations et exemples de code que vous pouvez utiliser lors du développement de vos propres notebooks.
Le
Sample-Notebooksrépertoire comprend des exemples de notebooks enregistrés avec des données que vous pouvez utiliser pour afficher la sortie prévue.Le
HowTosrépertoire comprend des notebooks qui décrivent des concepts tels que la définition de votre version Python par défaut, la création de signets Microsoft Sentinel à partir d’un bloc-notes, etc.
Gérer l’accès aux notebooks Microsoft Sentinel
Pour utiliser des notebooks Jupyter dans Microsoft Sentinel, vous devez d’abord disposer des autorisations appropriées, en fonction de votre rôle d’utilisateur.
Bien que vous puissiez exécuter Microsoft Sentinel notebooks dans JupyterLab ou Jupyter Classic, dans Microsoft Sentinel, les notebooks sont exécutés sur une plateforme Machine Learning Azure. Pour exécuter des notebooks dans Microsoft Sentinel, vous devez disposer d’un accès approprié à Microsoft Sentinel espace de travail et à un espace de travail Machine Learning Azure.
| Autorisation | Description |
|---|---|
| autorisations Microsoft Sentinel | Comme les autres ressources Microsoft Sentinel, pour accéder aux blocs-notes dans Microsoft Sentinel panneau Notebooks, un rôle Lecteur Microsoft Sentinel, Répondeur Microsoft Sentinel ou Contributeur Microsoft Sentinel est Obligatoire. Pour plus d’informations, consultez Autorisations dans Microsoft Sentinel. |
| Azure autorisations Machine Learning | Un espace de travail Machine Learning Azure est une ressource Azure. Comme les autres ressources Azure, lorsqu’un nouvel espace de travail Machine Learning Azure est créé, il est fourni avec les rôles par défaut. Vous pouvez ajouter des utilisateurs à l’espace de travail et les affecter à l’un de ces rôles intégrés. Pour plus d’informations, consultez Azure rôles par défaut Machine Learning et Azure rôles intégrés. Important : l’accès aux rôles peut être étendu à plusieurs niveaux dans Azure. Par exemple, une personne disposant d’un accès propriétaire à un espace de travail peut ne pas avoir d’accès propriétaire au groupe de ressources qui contient l’espace de travail. Pour plus d’informations, consultez Fonctionnement Azure RBAC. Si vous êtes propriétaire d’un Azure espace de travail ML, vous pouvez ajouter et supprimer des rôles pour l’espace de travail et attribuer des rôles aux utilisateurs. Pour plus d’informations, reportez-vous aux rubriques suivantes : - Portail Azure - Powershell - Azure CLI - REST API - modèles Azure Resource Manager - cli Azure Machine Learning Si les rôles intégrés sont insuffisants, vous pouvez également créer des rôles personnalisés. Les rôles personnalisés peuvent avoir des autorisations de lecture, d’écriture, de suppression et de ressources de calcul dans cet espace de travail. Vous pouvez rendre le rôle disponible à un niveau d’espace de travail spécifique, à un niveau de groupe de ressources spécifique ou à un niveau d’abonnement spécifique. Pour plus d’informations, consultez Créer un rôle personnalisé. |
Envoyer des commentaires pour un bloc-notes
Envoyez des commentaires, des demandes de fonctionnalités, des rapports de bogues ou des améliorations apportées aux notebooks existants. Accédez au dépôt GitHub Microsoft Sentinel pour créer un problème, ou dupliquez et chargez une contribution.
Contenu connexe
- Rechercher les menaces de sécurité avec les notebooks Jupyter
- Bien démarrer avec les notebooks Jupyter et MSTICPy dans Microsoft Sentinel
- Repérage proactif des menaces
- Effectuer le suivi des données pendant la chasse avec Microsoft Sentinel
Pour obtenir des blogs, des vidéos et d’autres ressources, consultez :
- Créer votre premier bloc-notes Microsoft Sentinel (série de blog)
- Tutoriel : notebooks Microsoft Sentinel - Prise en main (vidéo)
- Tutoriel : Modifier et exécuter des notebooks Jupyter sans quitter Azure Machine Learning studio (vidéo)
- Détecter les fuites d’informations d’identification à l’aide de notebooks Azure Sentinel (vidéo)
- Webinaire : notions de base des notebooks Microsoft Sentinel (vidéo)
- Jupyter, msticpy et Microsoft Sentinel