Esplorare il codice del notebook
I blocchi di codice seguenti del notebook "Guida introduttiva per Microsoft Sentinel ML Notebooks" forniscono un esempio rappresentativo dell'uso dei dati di Microsoft Sentinel.
Blocco di codice
In questo frammento di codice:
Si crea una nuova variabile [test_query] che contiene la query KQL.
Si esegue quindi la query [qry_prov.exec_query()]. Questa operazione usa la libreria msticpy per eseguire la query KQL nell'area di lavoro Log Analytics in Microsoft Sentinel correlata. I risultati vengono archiviati nella variabile [test_df].
Visualizzare quindi le prime cinque righe con la funzione xxx_xxxx.head().
Blocco di codice
In questo frammento di codice:
Si crea una nuova funzione denominata lookup_res che accetta una riga variabile.
Successivamente, l'indirizzo IP archiviato nella riga viene salvato nella variabile [ip].
La riga di codice successiva usa la funzione [ti.lookup_ioc()] per eseguire una query sulla tabella ThreatIntelligenceIndicator per una riga originata da VirusTotal con un indirizzo IP corrispondente.
La funzione msticpy [ti.result_to_df()] restituirà quindi una rappresentazione dataframe della risposta.
La nuova funzione restituisce la gravità dell'indirizzo IP.
Blocco di codice
In questo frammento di codice:
Si crea una nuova variabile [vis_q] che contiene la query KQL.
Si esegue quindi la query [qry_prov.exec_query()]. Questa operazione usa la libreria msticpy per eseguire la query KQL nell'area di lavoro Log Analytics in Microsoft Sentinel correlata. I risultati vengono archiviati nella variabile [vis_data].
La query [qry_prov.exec_query()] restituisce quindi un dataframe Pandas che specifica funzionalità di visualizzazione. A questo punto si può tracciare un grafico a barre che mostra gli indirizzi IP univoci e il numero di volte in cui sono stati usati nelle prime cinque voci del dataframe.
