Notebook di Jupyter con funzionalità di ricerca di Microsoft Sentinel
I notebook di Jupyter combinano la programmabilità completa con un'enorme raccolta di librerie per l'apprendimento automatico, la visualizzazione e l'analisi dei dati. Questi attributi rendono Jupyter uno strumento efficace per l'analisi e la ricerca della sicurezza.
La base di Microsoft Sentinel è l'archivio dati; combina query ad alte prestazioni, schema dinamico e scalabilità in volumi di dati di grandi dimensioni. I portale di Azure e tutti gli strumenti di Microsoft Sentinel usano un'API comune per accedere a questo archivio dati. La stessa API è disponibile anche per strumenti esterni come Python e i notebook Jupyter.
Importante
Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Quando usare i notebook di Jupyter
Mentre è possibile eseguire nel portale molte attività comuni, Jupyter estende l'ambito delle operazioni che è possibile eseguire con questi dati.
Ad esempio, usare i notebook per:
- Eseguire analisi non predefinite in Microsoft Sentinel, ad esempio alcune funzionalità di Machine Learning python
- Creare visualizzazioni dei dati non predefinite in Microsoft Sentinel, ad esempio sequenze temporali personalizzate e alberi di elaborazione
- Integrare origini dati all'esterno di Microsoft Sentinel, ad esempio un set di dati locale.
L'esperienza di Jupyter è stata integrata nell'portale di Azure, semplificando la creazione ed esecuzione di notebook per analizzare i dati. La libreria Kqlmagic fornisce l'associazione che consente di eseguire query Linguaggio di query Kusto (KQL) da Microsoft Sentinel ed eseguirle direttamente all'interno di un notebook.
Diversi notebook, sviluppati da alcuni analisti della sicurezza di Microsoft, sono in pacchetto con Microsoft Sentinel:
- Alcuni di questi notebook sono compilati per uno scenario specifico e possono essere usati così come sono.
- Altri sono intesi come esempi per illustrare le tecniche e le funzionalità che è possibile copiare o adattare per poterle usare nei propri notebook.
Importare altri notebook dal repository GitHub di Microsoft Sentinel.
Funzionamento dei notebook di Jupyter
I notebook presentano due componenti:
- Interfaccia basata su browser, in cui si immettono ed eseguono query e codice e dove vengono visualizzati i risultati dell'esecuzione.
- Kernel responsabile dell'analisi e dell'esecuzione del codice stesso.
Il kernel del notebook di Microsoft Sentinel viene eseguito in una macchina virtuale di Azure. L'istanza della macchina virtuale può supportare l'esecuzione di molti notebook contemporaneamente. Se i notebook includono modelli di Machine Learning complessi, esistono diverse opzioni di licenza per l'uso di macchine virtuali più potenti.
Informazioni sui pacchetti Python
I notebook di Microsoft Sentinel usano molte librerie Python comuni, ad esempio pandas, matplotlib, bokeh e altri. Sono disponibili molti altri pacchetti Python tra cui scegliere, in riferimento ad aree quali:
- Visualizzazioni e grafica
- Elaborazione e analisi dei dati
- Statistiche e calcolo numerico
- Apprendimento automatico e Deep Learning
Per evitare di dover digitare o incollare codice complesso e ripetitivo nelle celle del notebook, la maggior parte dei notebook Python si basa su librerie di terze parti denominate pacchetti. Per usare un pacchetto in un notebook, è necessario installare e importare il pacchetto. L'ambiente di calcolo di Azure Machine Learning include i pacchetti più comuni preinstallati. Assicurarsi di importare il pacchetto o la parte pertinente del pacchetto, ad esempio un modulo, un file, una funzione o una classe.
I notebook di Microsoft Sentinel usano un pacchetto Python denominato MSTICPy, che è una raccolta di strumenti di cybersecurity per il recupero, l'analisi, l'arricchimento e la visualizzazione dei dati.
Gli strumenti MSTICPy sono progettati appositamente per facilitare la creazione di notebook per la ricerca e l'analisi e stiamo lavorando attivamente su nuove funzionalità e miglioramenti. Per altre informazioni, vedi:
- Documentazione di MSTIC Jupyter e Python Security Tools
- Introduzione ai notebook di Jupyter e MSTICPy in Microsoft Sentinel
- Configurazioni avanzate per notebook jupyter e MSTICPy in Microsoft Sentinel
Trovare notebook
In Microsoft Sentinel selezionare Notebooks (Notebook) per visualizzare i notebook forniti da Microsoft Sentinel. Per altre informazioni sull'uso dei notebook nella ricerca e nell'analisi delle minacce, vedere modelli di notebook come Analisi delle credenziali in Azure Log Analytics e Analisi guidata - Avvisi dei processi.
Per altri notebook creati da Microsoft o forniti dalla community, passare al repository GitHub di Microsoft Sentinel. Usare notebook condivisi nel repository GitHub di Microsoft Sentinel come strumenti, illustrazioni ed esempi di codice utili che è possibile usare per lo sviluppo di notebook personalizzati.
La
Sample-Notebooksdirectory include notebook di esempio salvati con dati che è possibile usare per visualizzare l'output previsto.La
HowTosdirectory include notebook che descrivono concetti come l'impostazione della versione predefinita di Python, la creazione di segnalibri di Microsoft Sentinel da un notebook e altro ancora.
Gestire l'accesso ai notebook di Microsoft Sentinel
Per usare i notebook di Jupyter in Microsoft Sentinel, è prima necessario disporre delle autorizzazioni appropriate, a seconda del ruolo utente.
Anche se è possibile eseguire notebook di Microsoft Sentinel in JupyterLab o Jupyter Classic, in Microsoft Sentinel i notebook vengono eseguiti in una piattaforma di Azure Machine Learning . Per eseguire notebook in Microsoft Sentinel, è necessario disporre dell'accesso appropriato all'area di lavoro di Microsoft Sentinel e a un'area di lavoro di Azure Machine Learning.
| Autorizzazione | Descrizione |
|---|---|
| Autorizzazioni di Microsoft Sentinel | Analogamente ad altre risorse di Microsoft Sentinel, per accedere ai notebook nel pannello Notebook di Microsoft Sentinel, è necessario un ruolo lettore di Microsoft Sentinel, risponditore di Microsoft Sentinel o Collaboratore di Microsoft Sentinel. Per altre informazioni, vedere Autorizzazioni in Microsoft Sentinel. |
| Autorizzazioni di Azure Machine Learning | Un'area di lavoro di Azure Machine Learning è una risorsa di Azure. Analogamente ad altre risorse di Azure, quando viene creata una nuova area di lavoro di Azure Machine Learning, viene fornita con i ruoli predefiniti. È possibile aggiungere utenti all'area di lavoro e assegnarli a uno di questi ruoli predefiniti. Per altre informazioni, vedere Ruoli predefiniti di Azure Machine Learning e ruoli predefiniti di Azure. Importante: l'accesso ai ruoli può essere limitato a più livelli in Azure. Ad esempio, un utente con accesso come proprietario a un'area di lavoro potrebbe non avere lo stesso accesso al gruppo di risorse che contiene l'area di lavoro. Per altre informazioni, vedere Funzionamento del controllo degli accessi in base al ruolo di Azure. Se si è proprietari di un'area di lavoro di Azure ML, è possibile aggiungere e rimuovere ruoli per l'area di lavoro e assegnare ruoli agli utenti. Per altre informazioni, vedi: - Azure portal - PowerShell - Interfaccia della riga di comando di Azure - REST API - Modelli di Gestione risorse di Azure - Interfaccia della riga di comando di Azure Machine Learning Se i ruoli predefiniti non sono sufficienti, è anche possibile creare ruoli personalizzati. I ruoli personalizzati possono avere autorizzazioni di lettura, scrittura, eliminazione e risorse di calcolo in tale area di lavoro. È possibile rendere il ruolo disponibile per un livello di area di lavoro specifico, un livello di gruppo di risorse specifico o un livello di sottoscrizione specifico. Per altre informazioni, vedere Creare un ruolo personalizzato. |
Inviare commenti e suggerimenti per un notebook
Inviare commenti e suggerimenti, richieste di funzionalità, report di bug o miglioramenti ai notebook esistenti. Passare al repository GitHub di Microsoft Sentinel per creare un problema o creare un fork e caricare un contributo.
Contenuto correlato
- Cercare minacce per la sicurezza con notebook di Jupyter
- Introduzione ai notebook di Jupyter e MSTICPy in Microsoft Sentinel
- Cercare le minacce in modo proattivo
- Tenere traccia dei dati durante la ricerca con Microsoft Sentinel
Per blog, video e altre risorse, vedere:
- Creare il primo notebook di Microsoft Sentinel (serie di blog)
- Esercitazione: Notebook di Microsoft Sentinel - Introduzione (Video)
- Esercitazione: Modificare ed eseguire notebook di Jupyter senza uscire studio di Azure Machine Learning (Video)
- Rilevare le perdite di credenziali con i notebook di Azure Sentinel (video)
- Webinar: Nozioni fondamentali dei notebook di Microsoft Sentinel (Video)
- Jupyter, msticpy e Microsoft Sentinel