Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel wordt beschreven hoe u de Aan de slag Guide For Microsoft Sentinel ML Notebooks notebook uitvoert, die basisconfiguraties instelt voor het uitvoeren van Jupyter-notebooks in Microsoft Sentinel en voorbeelden bevat voor het uitvoeren van eenvoudige query's.
De Aan de slag Guide for Microsoft Sentinel ML Notebooks notebook maakt gebruik van MSTICPy, een krachtige Python-bibliotheek die is ontworpen om beveiligingsonderzoeken en opsporing van bedreigingen in Microsoft Sentinel notebooks te verbeteren. Het biedt ingebouwde hulpprogramma's voor gegevensverrijking, visualisatie, anomaliedetectie en geautomatiseerde query's, waarmee analisten hun werkstroom kunnen stroomlijnen zonder uitgebreide aangepaste codering.
Zie Notebooks gebruiken om onderzoek uit te voeren en Jupyter-notebooks gebruiken om beveiligingsrisico's op te sporen voor meer informatie.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Vereisten
Voordat u begint, moet u ervoor zorgen dat u over de vereiste machtigingen en resources beschikt.
| Vereiste | Beschrijving |
|---|---|
| Machtigingen | Als u notitieblokken in Microsoft Sentinel wilt gebruiken, moet u ervoor zorgen dat u over de vereiste machtigingen beschikt. Zie Toegang tot Microsoft Sentinel-notitieblokken beheren voor meer informatie. |
| Python | Als u de stappen in dit artikel wilt uitvoeren, hebt u Python 3.6 of hoger nodig. In Azure Machine Learning kunt u een Python 3.8-kernel (aanbevolen) of een Python 3.6-kernel gebruiken. Als u het notebook gebruikt dat in dit artikel wordt beschreven in een andere Jupyter-omgeving, kunt u elke kernel gebruiken die Python 3.6 of hoger ondersteunt. Als u MSTICPy-notebooks buiten Microsoft Sentinel en Azure Machine Learning (ML) wilt gebruiken, moet u ook uw Python-omgeving configureren. Installeer Python 3.6 of hoger met de Anaconda-distributie, die veel van de vereiste pakketten bevat. |
| MaxMind GeoLite2 | Dit notebook maakt gebruik van de geolocatiezoekservice MaxMind GeoLite2 voor IP-adressen. Als u de MaxMind GeoLite2-service wilt gebruiken, hebt u een licentiesleutel nodig. U kunt zich aanmelden voor een gratis account en sleutel op de maxmind-aanmeldingspagina. |
| Virustotal | Dit notebook maakt gebruik van VirusTotal (VT) als bedreigingsinformatiebron. U hebt een VirusTotal-account en API-sleutel nodig om virustotal-bedreigingsinformatie te gebruiken. Als u een VT Enterprise-sleutel gebruikt, slaat u deze op een Azure Key Vault in plaats van het bestand msticpyconfig.yaml. Zie Geheimen opgeven als Key Vault geheimen in de MSTICPY-documentatie voor meer informatie. Als u momenteel geen Azure Key Vault wilt instellen, meldt u zich aan voor en gebruikt u een gratis account totdat u Key Vault opslag kunt instellen. |
Het Aan de slag Guide-notebook installeren en uitvoeren
In deze procedure wordt beschreven hoe u uw notitieblok start met Microsoft Sentinel.
Voor Microsoft Sentinel in de Defender-portal selecteert u Microsoft Sentinel>Threat-beheernotitieblokken>. Voor Microsoft Sentinel in de Azure Portal selecteert u onder Bedreigingsbeheer de optie Notebooks.
Selecteer op het tabblad SjablonenA Aan de slag Guide For Microsoft Sentinel ML Notebooks .
Selecteer Maken op basis van sjabloon.
Bewerk de naam en selecteer de Azure Machine Learning-werkruimte.
Selecteer Opslaan om deze op te slaan in uw Azure Machine Learning-werkruimte.
Selecteer Notebook starten om het notitieblok uit te voeren. Het notitieblok bevat een reeks cellen:
- Markdown-cellen bevatten tekst en afbeeldingen met instructies voor het gebruik van het notitieblok
- Codecellen bevatten uitvoerbare code waarmee de notebookfuncties worden uitgevoerd
Selecteer uw compute bovenaan de pagina.
Ga verder met het lezen van Markdown-cellen en het uitvoeren van codecellen in de volgorde, met behulp van de instructies in het notitieblok. Het overslaan van cellen of het uitvoeren ervan in de juiste volgorde kan later in het notitieblok fouten veroorzaken.
Afhankelijk van de functie die wordt uitgevoerd, kan de code in de cel snel worden uitgevoerd of kan het enige tijd duren om te voltooien. Wanneer de cel wordt uitgevoerd, verandert de afspeelknop in een laadspinner en wordt de status onder aan de cel weergegeven, samen met de verstreken tijd.
De eerste keer dat u een codecel uitvoert, kan het enkele minuten duren om de sessie te starten, afhankelijk van uw rekeninstellingen. Er wordt een indicatie Gereed weergegeven wanneer het notitieblok klaar is om codecellen uit te voeren. Bijvoorbeeld:
De Aan de slag Guide for Microsoft Sentinel ML Notebooks notebook bevat secties voor de volgende activiteiten:
| Naam | Beschrijving |
|---|---|
| Inleiding | Beschrijf de basisprincipes van notebooks en biedt voorbeeldcode die u kunt uitvoeren om te zien hoe notebooks werken. |
| Het notebook en MSTICPy initialiseren | Helpt u uw omgeving klaar te maken om de rest van het notebook uit te voeren. Bij het initialiseren van het notebook worden configuratiewaarschuwingen over ontbrekende instellingen verwacht omdat u nog niets hebt geconfigureerd. |
| Query's uitvoeren op gegevens uit Microsoft Sentinel | Helpt u bij het verifiëren, configureren en testen van Microsoft Sentinel instellingen. Gebruik de code in deze sectie om te verifiëren voor Microsoft Sentinel en een voorbeeldquery uit te voeren om de verbinding te testen. |
| Externe gegevensproviders configureren en testen (VirusTotal en Maxmind GeoLite2) | Helpt u bij het configureren van instellingen voor VirusTotal, als een voorbeeldservice voor bedreigingsinformatie, en MaxMind GeoLite2, als een voorbeeldservice voor het opzoeken van geo-locatie. Gebruik de code in deze sectie om voorbeeldquery's uit te voeren op deze gegevensproviders om deze te testen. |
De code in de Aan de slag Guide For Microsoft Sentinel ML Notebooks start het hulpprogramma MpConfigEdit, dat een reeks tabbladen bevat voor het configureren van uw notebookomgeving. Wanneer u wijzigingen aanbrengt in het hulpprogramma MpConfigEdit , moet u uw wijzigingen opslaan voordat u doorgaat. De instellingen voor het notitieblok worden opgeslagen in het bestand msticpyconfig.yaml , dat automatisch wordt ingevuld met de eerste gegevens voor uw werkruimte.
Lees de markdown-cellen zorgvuldig door, zodat u het proces volledig begrijpt, inclusief alle instellingen en het bestand msticpyconfig.yaml . Volgende stappen, extra resources en veelgestelde vragen van de wiki Azure Sentinel Notebooks worden vanaf het einde van het notitieblok gekoppeld.
Uw query's aanpassen (optioneel)
De Aan de slag Guide For Microsoft Sentinel ML Notebooks notebook bevat voorbeeldquery's die u kunt gebruiken bij het leren over notitieblokken. Pas de ingebouwde query's aan door meer querylogica toe te voegen of voer volledige query's uit met behulp van de exec_query functie. De meeste ingebouwde query's ondersteunen bijvoorbeeld de add_query_items parameter, die u kunt gebruiken om filters of andere bewerkingen toe te voegen aan de query's.
Voer de volgende codecel uit om een gegevensframe toe te voegen dat het aantal waarschuwingen op waarschuwingsnaam samenvat:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Geef een volledige Kusto-querytaal (KQL)-queryreeks door aan de queryprovider. De query wordt uitgevoerd op de verbonden werkruimte en de gegevens worden geretourneerd als een panda DataFrame. Uitvoeren:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Zie voor meer informatie:
Richtlijnen toepassen op andere notitieblokken
In de stappen in dit artikel wordt beschreven hoe u de Aan de slag Guide for Microsoft Sentinel ML Notebooks notebook uitvoert in uw Azure Machine Learning-werkruimte via Microsoft Sentinel. U kunt dit artikel ook gebruiken als richtlijnen voor het uitvoeren van vergelijkbare stappen voor het uitvoeren van notebooks in andere omgevingen, inclusief lokaal.
Verschillende Microsoft Sentinel notebooks maken geen gebruik van MSTICPy, zoals de referentiescannernotitieblokken of de PowerShell- en C#-voorbeelden. Notebooks die geen MSTICpy gebruiken, hebben de MSTICPy-configuratie die in dit artikel wordt beschreven, niet nodig.
Probeer andere Microsoft Sentinel notebooks, zoals:
- Uw notebookomgeving configureren
- Een rondleiding door Cybersec-notebookfuncties
- Voorbeelden van Machine Learning in notebooks
- De Entity Explorer-serie, inclusief variaties voor accounts, domeinen en URL's, IP-adressen en Linux of Windows-hosts.
Zie voor meer informatie:
- Jupyter-notebooks met Microsoft Sentinel opsporingsmogelijkheden
- Geavanceerde configuraties voor Jupyter-notebooks en MSTICPy in Microsoft Sentinel
- Uw eerste Microsoft Sentinel-notitieblok maken (blogserie)
- overzicht van Linux Host Explorer Notebook (blog)
Verwante onderwerpen
Zie voor meer informatie: