Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come eseguire il Introduzione Guide For Microsoft Sentinel ML Notebooks notebook, che configura le configurazioni di base per l'esecuzione di notebook Jupyter in Microsoft Sentinel e fornisce esempi per l'esecuzione di query semplici.
La guida Introduzione per Microsoft Sentinel notebook di ML Notebooks usa MSTICPy, una potente libreria Python progettata per migliorare le indagini sulla sicurezza e la ricerca delle minacce all'interno di Microsoft Sentinel notebook. Fornisce strumenti predefiniti per l'arricchimento dei dati, la visualizzazione, il rilevamento delle anomalie e le query automatizzate, consentendo agli analisti di semplificare il flusso di lavoro senza codifica personalizzata completa.
Per altre informazioni, vedere Usare i notebook per potenziare le indagini e Usare i notebook di Jupyter per cercare le minacce alla sicurezza.
Importante
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.
Prerequisiti
Prima di iniziare, assicurarsi di disporre delle autorizzazioni e delle risorse necessarie.
| Prerequisito | Descrizione |
|---|---|
| Autorizzazioni | Per usare i notebook in Microsoft Sentinel, assicurarsi di disporre delle autorizzazioni necessarie. Per altre informazioni, vedere Gestire l'accesso ai notebook Microsoft Sentinel. |
| Python | Per eseguire i passaggi descritti in questo articolo, è necessario Python 3.6 o versione successiva. In Azure Machine Learning è possibile usare un kernel Python 3.8 (consigliato) o un kernel Python 3.6. Se si usa il notebook descritto in questo articolo in un altro ambiente Jupyter, è possibile usare qualsiasi kernel che supporti Python 3.6 o versione successiva. Per usare notebook MSTICPy all'esterno di Microsoft Sentinel e Azure Machine Learning (ML), è anche necessario configurare l'ambiente Python. Installare Python 3.6 o versione successiva con la distribuzione Anaconda, che include molti dei pacchetti necessari. |
| MaxMind GeoLite2 | Questo notebook usa il servizio di ricerca georilevazione MaxMind GeoLite2 per gli indirizzi IP. Per usare il servizio MaxMind GeoLite2, è necessaria una chiave di licenza. È possibile iscriversi per ottenere un account e una chiave gratuiti nella pagina di iscrizione a Maxmind. |
| Virustotal | Questo notebook usa VirusTotal (VT) come origine di intelligence per le minacce. Per usare la ricerca dell'intelligence sulle minacce VirusTotal, sono necessari un account VirusTotal e una chiave API. Se si usa una chiave aziendale VT, archiviarla come Azure Key Vault invece del file msticpyconfig.yaml. Per altre informazioni, vedere Specificare i segreti come segreti Key Vault nella documentazione di MSTICPY. Se non si vuole configurare un Azure Key Vault in questo momento, iscriversi e usare un account gratuito fino a quando non è possibile configurare l'archiviazione Key Vault. |
Installare ed eseguire il notebook Introduzione Guide
Questa procedura descrive come avviare il notebook con Microsoft Sentinel.
Per Microsoft Sentinel nel portale di Defender, selezionare Microsoft Sentinel Threat managementNotebooks.For Microsoft Sentinel in the Defender portal, select Microsoft Sentinel>Threat management> Notebooks. Per Microsoft Sentinel nel portale di Azure, in Gestione delle minacce selezionare Notebook.
Nella scheda Modelli selezionare A Introduzione Guide For Microsoft Sentinel ML Notebooks .From the Templates tab, select A Introduzione Guide For Microsoft Sentinel ML Notebooks .
Selezionare Crea dal modello.
Modificare il nome e selezionare l'area di lavoro Azure Machine Learning in base alle esigenze.
Selezionare Salva per salvarlo nell'area di lavoro Azure Machine Learning.
Selezionare Avvia notebook per eseguire il notebook. Il notebook contiene una serie di celle:
- Le celle markdown contengono testo e grafica con istruzioni per l'uso del notebook
- Le celle di codice contengono codice eseguibile che esegue le funzioni del notebook
Nella parte superiore della pagina selezionare il calcolo.
Continuare leggendo le celle markdown e le celle di codice in esecuzione in ordine, usando le istruzioni nel notebook. Ignorare le celle o eseguirle in ordine non corretto potrebbe causare errori più avanti nel notebook.
A seconda della funzione eseguita, il codice nella cella potrebbe essere eseguito rapidamente o il completamento potrebbe richiedere del tempo. Quando la cella è in esecuzione, il pulsante di riproduzione diventa un filatore di caricamento e lo stato viene visualizzato nella parte inferiore della cella, insieme al tempo trascorso.
La prima volta che si esegue una cella di codice, l'avvio della sessione può richiedere alcuni minuti, a seconda delle impostazioni di calcolo. Quando il notebook è pronto per l'esecuzione delle celle di codice, viene visualizzata un'indicazione Pronto . Ad esempio:
La Guida Introduzione per Microsoft Sentinel notebook di ML Notebooks include sezioni per le attività seguenti:
| Nome | Descrizione |
|---|---|
| Introduzione | Descrivere le nozioni di base dei notebook e fornisce il codice di esempio che è possibile eseguire per vedere come funzionano i notebook. |
| Inizializzazione del notebook e di MSTICPy | Consente di preparare l'ambiente per l'esecuzione del resto del notebook. Durante l'inizializzazione del notebook, sono previsti avvisi di configurazione sulle impostazioni mancanti perché non è ancora stato configurato nulla. |
| Esecuzione di query sui dati da Microsoft Sentinel | Consente di verificare, configurare e testare le impostazioni di Microsoft Sentinel. Usare il codice in questa sezione per eseguire l'autenticazione in Microsoft Sentinel ed eseguire una query di esempio per testare la connessione. |
| Configurare e testare i provider di dati esterni (VirusTotal e Maxmind GeoLite2) | Consente di configurare le impostazioni per VirusTotal, come servizio di intelligence sulle minacce di esempio e MaxMind GeoLite2, come servizio di ricerca della posizione geografica di esempio. Usare il codice in questa sezione per eseguire query di esempio su questi provider di dati per testarli. |
Il codice nella Guida Introduzione per Microsoft Sentinel ML Notebooks avvia lo strumento MpConfigEdit, che include una serie di schede per la configurazione dell'ambiente notebook. Quando si apportano modifiche nello strumento MpConfigEdit , assicurarsi di salvare le modifiche prima di continuare. Le impostazioni per il notebook vengono archiviate nel file msticpyconfig.yaml , che viene popolato automaticamente con i dettagli iniziali per l'area di lavoro.
Assicurarsi di leggere attentamente le celle markdown in modo da comprendere completamente il processo, incluse ognuna delle impostazioni e il file msticpyconfig.yaml . I passaggi successivi, le risorse aggiuntive e le domande frequenti del wiki Azure Sentinel Notebooks sono collegati dalla fine del notebook.
Personalizzare le query (facoltativo)
La Guida Introduzione per Microsoft Sentinel notebook di ML Notebooks fornisce query di esempio da usare per l'apprendimento dei notebook. Personalizzare le query predefinite aggiungendo più logica di query oppure eseguire query complete usando la exec_query funzione . Ad esempio, la maggior parte delle query predefinite supporta il add_query_items parametro , che è possibile usare per accodare filtri o altre operazioni alle query.
Eseguire la cella di codice seguente per aggiungere un frame di dati che riepiloga il numero di avvisi in base al nome dell'avviso:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Passare una stringa di query Linguaggio di query Kusto (KQL) completa al provider di query. La query viene eseguita sull'area di lavoro connessa e i dati vengono restituiti come dataframe panda. Correre:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Per altre informazioni, vedere:
Applicare indicazioni ad altri notebook
I passaggi descritti in questo articolo descrivono come eseguire la Guida Introduzione per Microsoft Sentinel notebook di ML Notebooks nell'area di lavoro Azure Machine Learning tramite Microsoft Sentinel. È anche possibile usare questo articolo come materiale sussidiario per eseguire passaggi simili per eseguire notebook in altri ambienti, anche in locale.
Diversi notebook Microsoft Sentinel non usano MSTICPy, ad esempio i notebook di Credential Scanner o gli esempi di PowerShell e C#. Per i notebook che non usano MSTICpy non è necessaria la configurazione MSTICPy descritta in questo articolo.
Provare altri notebook Microsoft Sentinel, ad esempio:
- Configurazione dell'ambiente notebook
- Panoramica delle funzionalità dei notebook Cybersec
- Esempi di Machine Learning in Notebooks
- La serie Entity Explorer, incluse le varianti per account, domini e URL, indirizzi IP e host Linux o Windows.
Per altre informazioni, vedere:
- Notebook di Jupyter con funzionalità di ricerca Microsoft Sentinel
- Configurazioni avanzate per notebook Jupyter e MSTICPy in Microsoft Sentinel
- Creare il primo notebook Microsoft Sentinel (serie blog)
- procedura dettagliata per Linux Notebook di Esplora host (blog)
Contenuto correlato
Per altre informazioni, vedere: