Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I notebook di Jupyter combinano la programmabilità completa con un'enorme raccolta di librerie per machine learning, visualizzazione e analisi dei dati. Questi attributi rendono Jupyter uno strumento interessante per l'analisi e la ricerca della sicurezza.
La base di Microsoft Sentinel è l'archivio dati, che combina query ad alte prestazioni, schema dinamico e scalabilità in volumi di dati elevati. Il portale di Azure e tutti gli strumenti Microsoft Sentinel usano un'API comune per accedere a questo archivio dati. La stessa API è disponibile anche per strumenti esterni, ad esempio notebook Jupyter e Python.
Importante
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.
Quando usare i notebook di Jupyter
Anche se molte attività comuni possono essere eseguite nel portale, Jupyter estende l'ambito delle operazioni che è possibile eseguire con questi dati.
Ad esempio, usare i notebook per:
- Eseguire analisi che non vengono fornite predefinite in Microsoft Sentinel, ad esempio alcune funzionalità di Machine Learning python
- Creare visualizzazioni dei dati che non vengono fornite predefinite in Microsoft Sentinel, ad esempio sequenze temporali personalizzate e alberi dei processi
- Integrare origini dati all'esterno di Microsoft Sentinel, ad esempio un set di dati locale.
L'esperienza di Jupyter è stata integrata nel portale di Azure, semplificando la creazione e l'esecuzione di notebook per analizzare i dati. La libreria Kqlmagic fornisce l'associazione che consente di eseguire query Linguaggio di query Kusto (KQL) da Microsoft Sentinel ed eseguirle direttamente all'interno di un notebook.
Diversi notebook, sviluppati da alcuni analisti della sicurezza microsoft, sono dotati di Microsoft Sentinel:
- Alcuni di questi notebook sono creati per uno scenario specifico e possono essere usati così come sono.
- Altri sono progettati come esempi per illustrare tecniche e funzionalità che è possibile copiare o adattare per l'uso nei propri notebook.
Importare altri notebook dal repository GitHub Microsoft Sentinel.
Funzionamento dei notebook di Jupyter
I notebook hanno due componenti:
- Interfaccia basata su browser, in cui immettere ed eseguire query e codice e dove vengono visualizzati i risultati dell'esecuzione.
- Kernel responsabile dell'analisi e dell'esecuzione del codice stesso.
Il kernel del notebook di Microsoft Sentinel viene eseguito in una macchina virtuale (VM) Azure. L'istanza della macchina virtuale può supportare l'esecuzione di molti notebook contemporaneamente. Se i notebook includono modelli di Machine Learning complessi, esistono diverse opzioni di licenza per usare macchine virtuali più potenti.
Informazioni sui pacchetti Python
I notebook Microsoft Sentinel usano molte librerie Python comuni, ad esempio pandas, matplotlib, bokeh e altre. Esistono molti altri pacchetti Python tra cui scegliere, che coprono aree come:
- Visualizzazioni e grafica
- Elaborazione e analisi dei dati
- Statistiche e calcolo numerico
- Machine Learning e Deep Learning
Per evitare di dover digitare o incollare codice complesso e ripetitivo nelle celle del notebook, la maggior parte dei notebook Python si basa su librerie di terze parti denominate pacchetti. Per usare un pacchetto in un notebook, è necessario installare e importare il pacchetto. Azure Machine Learning Compute ha preinstallato i pacchetti più comuni. Assicurarsi di importare il pacchetto o la parte pertinente del pacchetto, ad esempio un modulo, un file, una funzione o una classe.
Microsoft Sentinel notebook usano un pacchetto Python denominato MSTICPy, che è una raccolta di strumenti di cybersecurity per il recupero, l'analisi, l'arricchimento e la visualizzazione dei dati.
Gli strumenti MSTICPy sono progettati specificamente per facilitare la creazione di notebook per la ricerca e l'analisi e stiamo lavorando attivamente a nuove funzionalità e miglioramenti. Per altre informazioni, vedere:
- Documentazione di MSTIC Jupyter e Python Security Tools
- Introduzione ai notebook di Jupyter e MSTICPy in Microsoft Sentinel
- Configurazioni avanzate per notebook Jupyter e MSTICPy in Microsoft Sentinel
Trovare i notebook
In Microsoft Sentinel selezionare Notebook per visualizzare i notebook forniti da Microsoft Sentinel. Altre informazioni sull'uso dei notebook nella ricerca e nell'analisi delle minacce esplorando modelli di notebook come Analisi delle credenziali in Azure Log Analytics e Analisi guidata - Avvisi di elaborazione.
Per altri notebook creati da Microsoft o forniti dalla community, passare a Microsoft Sentinel repository GitHub. Usare i notebook condivisi nel repository GitHub Microsoft Sentinel come strumenti, illustrazioni ed esempi di codice utili che è possibile usare durante lo sviluppo di notebook personalizzati.
La
Sample-Notebooksdirectory include notebook di esempio salvati con dati che è possibile usare per visualizzare l'output previsto.La
HowTosdirectory include notebook che descrivono concetti come l'impostazione della versione predefinita di Python, la creazione di segnalibri Microsoft Sentinel da un notebook e altro ancora.
Gestire l'accesso ai notebook Microsoft Sentinel
Per usare i notebook di Jupyter in Microsoft Sentinel, è necessario disporre delle autorizzazioni appropriate, a seconda del ruolo utente.
Anche se è possibile eseguire Microsoft Sentinel notebook in JupyterLab o Jupyter classico, in Microsoft Sentinel i notebook vengono eseguiti in una piattaforma di Machine Learning Azure. Per eseguire notebook in Microsoft Sentinel, è necessario avere accesso appropriato sia all'area di lavoro Microsoft Sentinel che a un'area di lavoro di Machine Learning Azure.
| Autorizzazione | Descrizione |
|---|---|
| autorizzazioni Microsoft Sentinel | Come altre risorse Microsoft Sentinel, per accedere ai notebook nel pannello Notebook Microsoft Sentinel, un ruolo lettore Microsoft Sentinel, Microsoft Sentinel risponditore o Microsoft Sentinel ruolo Collaboratore è Obbligatorio. Per altre informazioni, vedere Autorizzazioni in Microsoft Sentinel. |
| Azure autorizzazioni di Machine Learning | Un'area di lavoro di Machine Learning Azure è una risorsa Azure. Come altre risorse Azure, quando viene creata una nuova area di lavoro Azure Machine Learning, viene fornito con i ruoli predefiniti. È possibile aggiungere utenti all'area di lavoro e assegnarli a uno di questi ruoli predefiniti. Per altre informazioni, vedere Azure ruoli predefiniti di Machine Learning e Azure ruoli predefiniti. Importante: l'accesso al ruolo può essere limitato a più livelli in Azure. Ad esempio, un utente con accesso proprietario a un'area di lavoro potrebbe non avere accesso proprietario al gruppo di risorse che contiene l'area di lavoro. Per altre informazioni, vedere Funzionamento del controllo degli accessi in base al ruolo Azure. Se si è proprietari di un'area di lavoro di Ml Azure, è possibile aggiungere e rimuovere ruoli per l'area di lavoro e assegnare ruoli agli utenti. Per altre informazioni, vedere: - portale di Azure - Powershell - interfaccia della riga di comando di Azure - REST API - modelli Azure Resource Manager - Azure interfaccia della riga di comando di Machine Learning Se i ruoli predefiniti non sono sufficienti, è anche possibile creare ruoli personalizzati. I ruoli personalizzati possono avere autorizzazioni per le risorse di lettura, scrittura, eliminazione e calcolo in tale area di lavoro. È possibile rendere il ruolo disponibile a un livello di area di lavoro specifico, a un livello di gruppo di risorse specifico o a un livello di sottoscrizione specifico. Per altre informazioni, vedere Creare un ruolo personalizzato. |
Inviare commenti e suggerimenti per un notebook
Inviare commenti e suggerimenti, richieste di funzionalità, report sui bug o miglioramenti ai notebook esistenti. Passare al repository GitHub Microsoft Sentinel per creare un problema oppure creare un fork e caricare un contributo.
Contenuto correlato
- Cercare le minacce alla sicurezza con i notebook di Jupyter
- Introduzione ai notebook di Jupyter e MSTICPy in Microsoft Sentinel
- Ricerca proattiva delle minacce
- Tenere traccia dei dati durante la ricerca con Microsoft Sentinel
Per blog, video e altre risorse, vedere:
- Creare il primo notebook Microsoft Sentinel (serie blog)
- Esercitazione: Microsoft Sentinel notebook - Introduzione (video)
- Esercitazione: Modificare ed eseguire notebook di Jupyter senza uscire da studio di Azure Machine Learning (video)
- Rilevare perdite di credenziali usando Azure Sentinel notebook (video)
- Webinar: nozioni fondamentali su notebook Microsoft Sentinel (video)
- Jupyter, msticpy e Microsoft Sentinel