Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan cara menjalankan notebook Panduan Memulai untuk Microsoft Sentinel ML Notebooks, yang menyiapkan konfigurasi dasar untuk menjalankan notebook Jupyter di Microsoft Sentinel dan menyediakan contoh untuk menjalankan kueri sederhana.
Panduan Memulai untuk notebook Microsoft Sentinel ML Notebooks menggunakan MSTICPy, pustaka Python canggih yang dirancang untuk meningkatkan penyelidikan keamanan dan perburuan ancaman dalam notebook Microsoft Sentinel. Ini menyediakan alat bawaan untuk pengayaan data, visualisasi, deteksi anomali, dan kueri otomatis, membantu analis merampingkan alur kerja mereka tanpa pengkodean kustom yang luas.
Untuk informasi selengkapnya, lihat Menggunakan notebook untuk mendukung investigasi dan Menggunakan notebook Jupyter untuk berburu ancaman keamanan.
Penting
Microsoft Sentinel umumnya tersedia di portal Microsoft Defender, termasuk untuk pelanggan tanpa Microsoft Defender XDR atau lisensi E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Prasyarat
Sebelum memulai, pastikan Anda memiliki izin dan sumber daya yang diperlukan.
| Prasyarat | Deskripsi |
|---|---|
| Izin | Untuk menggunakan notebook di Microsoft Sentinel, pastikan Anda memiliki izin yang diperlukan. Untuk informasi selengkapnya, lihat Mengelola akses ke notebook Microsoft Azure Sentinel. |
| Ular sawah | Untuk melakukan langkah-langkah dalam artikel ini, Anda memerlukan Python 3.6 atau yang lebih baru. Di Azure Pembelajaran Mesin, Anda dapat menggunakan kernel Python 3.8 (disarankan) atau kernel Python 3.6. Jika Anda menggunakan buku catatan yang dijelaskan dalam artikel ini di lingkungan Jupyter lain, Anda bisa menggunakan kernel apa pun yang mendukung Python 3.6 atau yang lebih baru. Untuk menggunakan notebook MSTICPy di luar Microsoft Sentinel dan Azure Pembelajaran Mesin (ML), Anda juga perlu mengonfigurasi lingkungan Python Anda. Pasang Python 3.6 atau yang lebih baru dengan distribusi Anaconda, yang mencakup banyak paket yang diperlukan. |
| MaxMind GeoLite2 | Notebook ini menggunakan layanan pencarian geolokasi MaxMind GeoLite2 untuk alamat IP. Untuk menggunakan layanan MaxMind GeoLite2, Anda memerlukan kunci lisensi. Anda dapat mendaftar untuk akun dan kunci gratis di halaman pendaftaran Maxmind. |
| VirusTotal | Notebook ini menggunakan VirusTotal (VT) sebagai sumber inteligensi ancaman. Untuk menggunakan pencarian inteligensi ancaman VirusTotal, Anda memerlukan akun VirusTotal dan kunci API. Jika Anda menggunakan kunci perusahaan VT, simpan kunci Azure Key Vault alih-alih file msticpyconfig.yaml . Untuk informasi selengkapnya, lihat Menentukan data sensitif sebagai rahasia Key Vault dalam dokumentasi MSTICPY. Jika Anda tidak ingin menyiapkan Azure Key Vault sekarang, daftar dan gunakan akun gratis hingga Anda dapat mengatur penyimpanan Key Vault. |
Pasang dan jalankan Getting Started Guide notebook
Prosedur ini menjelaskan cara meluncurkan notebook Anda dengan Microsoft Sentinel.
Untuk Microsoft Sentinel di portal Defender, pilih Microsoft Sentinel>manajemen ancaman>Notebook. Untuk Microsoft Sentinel di Azure portal, di dalam Manajemen ancaman, pilih Notebook.
Dari tab Templat , pilih Panduan Memulai Untuk Notebook ML Microsoft Sentinel .
Pilih Buat dari templat.
Edit nama dan pilih ruang kerja Azure Pembelajaran Mesin yang sesuai.
Pilih Simpan untuk menyimpannya ke ruang kerja Azure Machine Learning Anda.
Pilih Luncurkan buku catatan untuk menjalankan buku catatan. Notebook berisi serangkaian sel:
- Sel Markdown berisi teks dan grafik yang berisi instruksi untuk menggunakan notebook
- Sel kode berisi kode yang dapat dieksekusi yang melakukan fungsi buku catatan
Di bagian atas halaman, pilih Komputasi Anda.
Lanjutkan dengan membaca sel markdown dan menjalankan sel kode secara berurutan, menggunakan instruksi pada notebook. Melompati sel atau menjalankannya di luar urutan dapat menyebabkan kesalahan nanti di buku catatan.
Bergantung pada fungsi yang sedang dilakukan, kode dalam sel mungkin berjalan dengan cepat, atau mungkin perlu waktu untuk menyelesaikannya. Saat sel berjalan, tombol putar berubah menjadi pemintal pemuatan, dan status ditampilkan di bagian bawah sel, bersama dengan waktu yang berlalu.
Pertama kali Anda menjalankan sel kode, mungkin diperlukan beberapa menit untuk memulai sesi, tergantung pada pengaturan komputasi Anda. Indikasi Siap diperlihatkan saat buku catatan siap menjalankan sel kode. Contohnya:
Notebook Panduan Memulai untuk Microsoft Sentinel ML Notebooks menyertakan bagian untuk aktivitas berikut:
| Nama | Deskripsi |
|---|---|
| Perkenalan | Menjelaskan dasar-dasar buku catatan dan menyediakan kode sampel yang bisa Anda jalankan untuk melihat cara kerja buku catatan. |
| Menginisialisasi notebook dan MSTICPy | Membantu Anda menyiapkan lingkungan untuk menjalankan sisa buku catatan. Saat menginisialisasi buku catatan, peringatan konfigurasi tentang pengaturan yang hilang diharapkan karena Anda belum melakukan konfigurasi apa pun. |
| Mengambil Data dari Microsoft Sentinel | Membantu Anda memverifikasi, mengonfigurasi, dan menguji pengaturan Microsoft Azure Sentinel. Gunakan kode di bagian ini untuk mengautentikasi ke Microsoft Sentinel dan menjalankan kueri sampel untuk menguji koneksi. |
| Mengonfigurasi dan menguji penyedia data eksternal (VirusTotal dan Maxmind GeoLite2) | Membantu Anda mengonfigurasi pengaturan untuk VirusTotal, sebagai contoh layanan inteligensi ancaman, dan MaxMind GeoLite2, sebagai contoh layanan pencarian lokasi geografis. Gunakan kode di bagian ini untuk menjalankan kueri sampel terhadap penyedia data ini untuk mengujinya. |
Kode dalam Panduan Memulai Untuk Notebooks ML Microsoft Sentinel meluncurkan alat MpConfigEdit , yang memiliki serangkaian tab untuk mengonfigurasi lingkungan notebook Anda. Saat Anda membuat perubahan pada alat MpConfigEdit , pastikan untuk menyimpan perubahan Anda sebelum melanjutkan. Pengaturan untuk buku catatan disimpan dalam file msticpyconfig.yaml , yang secara otomatis diisi dengan detail awal untuk ruang kerja Anda.
Pastikan untuk membaca sel markdown dengan hati-hati sehingga Anda memahami proses sepenuhnya, termasuk setiap pengaturan dan file msticpyconfig.yaml . Langkah berikutnya, sumber daya tambahan, dan tanya jawab umum dari Wiki Azure Sentinel Notebooks dapat ditemukan di akhir buku catatan.
Mengkustomisasi kueri Anda (opsional)
Panduan Memulai Untuk Notebook ML Microsoft Sentinel menyediakan kueri sampel yang dapat Anda gunakan saat mempelajari notebook tersebut. Kustomisasi kueri bawaan dengan menambahkan lebih banyak logika kueri, atau jalankan kueri lengkap menggunakan fungsi .exec_query Misalnya, sebagian besar kueri bawaan mendukung parameter add_query_items, yang dapat Anda gunakan untuk menambahkan filter atau operasi lain ke kueri.
Jalankan sel kode berikut untuk menambahkan bingkai data yang merangkum jumlah pemberitahuan berdasarkan nama pemberitahuan:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Teruskan string kueri Bahasa Kueri Kusto lengkap (KQL) ke penyedia kueri. Kueri berjalan terhadap ruang kerja yang tersambung, dan data kembali sebagai panda DataFrame. Jalankan:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Untuk informasi selengkapnya, lihat:
- Referensi Kueri MSTICPy
- Menjalankan kueri MSTICPy yang telah ditentukan sebelumnya
Menerapkan panduan ke buku catatan lain
Langkah-langkah dalam artikel ini menjelaskan cara menjalankan buku catatan Panduan Memulai untuk Microsoft Sentinel ML Notebooks di ruang kerja Azure Machine Learning Anda dengan menggunakan Microsoft Sentinel. Anda juga dapat menggunakan artikel ini sebagai panduan untuk melakukan langkah serupa untuk menjalankan buku catatan di lingkungan lain, termasuk secara lokal.
Beberapa notebook Microsoft Sentinel tidak menggunakan MSTICPy, seperti notebook Credential Scanner, atau contoh PowerShell dan C#. Notebook yang tidak menggunakan MSTICpy tidak memerlukan konfigurasi MSTICPy yang dijelaskan dalam artikel ini.
Cobalah notebook Microsoft Sentinel lainnya, seperti:
- Mengonfigurasi Lingkungan Notebook Anda
- Sebuah Tur Fitur Notebook Cybersec
- Pembelajaran Mesin dalam Contoh Buku Catatan
- Seri Entity Explorer , termasuk variasi untuk akun, domain dan URL, alamat IP, dan host Linux atau Windows.
Untuk informasi selengkapnya, lihat:
- Notebook Jupyter dengan kemampuan berburu Microsoft Sentinel
- Konfigurasi tingkat lanjut untuk notebook Jupyter dan MSTICPy di Microsoft Azure Sentinel
- Buat notebook Microsoft Sentinel pertama Anda (Seri blog)
- Panduan Notebook Linux Host Explorer (Blog)
Konten terkait
Untuk informasi selengkapnya, lihat: