Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como executar o bloco de notas do Introdução Guide For Microsoft Sentinel ML Notebooks, que configura configura configurações básicas para executar blocos de notas do Jupyter no Microsoft Sentinel e fornece exemplos para executar consultas simples.
O bloco de notas Introdução Guide for Microsoft Sentinel ML Notebooks utiliza o MSTICPy, uma poderosa biblioteca python concebida para melhorar as investigações de segurança e a investigação de ameaças dentro de blocos de notas Microsoft Sentinel. Fornece ferramentas incorporadas para melhoramento de dados, visualização, deteção de anomalias e consultas automatizadas, ajudando os analistas a simplificar o fluxo de trabalho sem codificação personalizada extensa.
Para obter mais informações, veja Use notebooks to power investigations (Utilizar blocos de notas do Jupyter para investigar ameaças de segurança).
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Pré-requisitos
Antes de começar, certifique-se de que tem as permissões e os recursos necessários.
| Pré-requisito | Descrição |
|---|---|
| Permissões | Para utilizar blocos de notas no Microsoft Sentinel, certifique-se de que tem as permissões necessárias. Para obter mais informações, veja Gerir o acesso a Microsoft Sentinel blocos de notas. |
| Python | Para executar os passos neste artigo, precisa do Python 3.6 ou posterior. No Azure Machine Learning, pode utilizar um kernel python 3.8 (recomendado) ou um kernel python 3.6. Se utilizar o bloco de notas descrito neste artigo noutro ambiente do Jupyter, pode utilizar qualquer kernel que suporte o Python 3.6 ou posterior. Para utilizar blocos de notas MSTICPy fora do Microsoft Sentinel e Azure Machine Learning (ML), também tem de configurar o seu ambiente Python. Instale o Python 3.6 ou posterior com a distribuição Anaconda, que inclui muitos dos pacotes necessários. |
| MaxMind GeoLite2 | Este bloco de notas utiliza o serviço de pesquisa de geolocalização MaxMind GeoLite2 para endereços IP. Para utilizar o serviço MaxMind GeoLite2, precisa de uma chave de licença. Pode inscrever-se numa conta e chave gratuitas na página Inscrição maxmind. |
| VirusTotal | Este bloco de notas utiliza VirusTotal (VT) como uma origem de informações sobre ameaças. Para utilizar a pesquisa de informações sobre ameaças VirusTotal, precisa de uma conta VirusTotal e uma chave de API. Se estiver a utilizar uma chave empresarial VT, armazene-a num Azure Key Vault em vez do ficheiro msticpyconfig.yaml. Para obter mais informações, veja Especificar segredos como Key Vault segredos na documentação do MSTICPY. Se não quiser configurar uma Azure Key Vault neste momento, inscreva-se e utilize uma conta gratuita até poder configurar Key Vault armazenamento. |
Instalar e executar o bloco de notas do Introdução Guide
Este procedimento descreve como iniciar o seu bloco de notas com Microsoft Sentinel.
Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel>Atualize blocos de notas de gestão>. Para Microsoft Sentinel na portal do Azure, em Gestão de ameaças, selecione Blocos de Notas.
No separador Modelos, selecione Um Guia de Introdução para Microsoft Sentinel Blocos de Notas do ML.
Selecione Criar a partir do modelo.
Edite o nome e selecione a área de trabalho Azure Machine Learning conforme adequado.
Selecione Guardar para guardá-lo na área de trabalho Azure Machine Learning.
Selecione Iniciar bloco de notas para executar o bloco de notas. O bloco de notas contém uma série de células:
- As células markdown contêm texto e gráficos com instruções para utilizar o bloco de notas
- As células de código contêm código executável que executa as funções do bloco de notas
Na parte superior da página, selecione a sua Computação.
Continue a ler células markdown e a executar células de código por ordem, com as instruções no bloco de notas. Ignorar células ou executá-las fora de ordem pode causar erros mais tarde no bloco de notas.
Dependendo da função que está a ser executada, o código na célula pode ser executado rapidamente ou pode demorar algum tempo a concluir. Quando a célula está em execução, o botão de reprodução muda para um controlo giratório de carga e o status é apresentado na parte inferior da célula, juntamente com o tempo decorrido.
A primeira vez que executar uma célula de código, poderá demorar alguns minutos a iniciar a sessão, consoante as definições de computação. É apresentada uma indicação Pronto quando o bloco de notas está pronto para executar células de código. Por exemplo:
O bloco de notas Introdução Guide For Microsoft Sentinel ML Notebooks inclui secções para as seguintes atividades:
| Nome | Descrição |
|---|---|
| Introdução | Descreva as noções básicas do bloco de notas e fornece código de exemplo que pode executar para ver como funcionam os blocos de notas. |
| Inicializar o bloco de notas e o MSTICPy | Ajuda-o a preparar o seu ambiente para executar o resto do bloco de notas. Ao inicializar o bloco de notas, são esperados avisos de configuração sobre as definições em falta porque ainda não configurou nada. |
| Consultar Dados de Microsoft Sentinel | Ajuda-o a verificar, configurar e testar Microsoft Sentinel definições. Utilize o código nesta secção para autenticar para Microsoft Sentinel e executar uma consulta de exemplo para testar a ligação. |
| Configurar e testar fornecedores de dados externos (VirusTotal e Maxmind GeoLite2) | Ajuda-o a configurar as definições para VirusTotal, como um serviço de informações sobre ameaças de exemplo, e MaxMind GeoLite2, como um serviço de pesquisa de geolocalização de exemplo. Utilize o código nesta secção para executar consultas de exemplo nestes fornecedores de dados para testá-las. |
O código no Introdução Guide For Microsoft Sentinel ML Notebooks inicia a ferramenta MpConfigEdit, que tem uma série de separadores para configurar o ambiente do bloco de notas. À medida que efetua alterações na ferramenta MpConfigEdit , certifique-se de que guarda as alterações antes de continuar. As definições do bloco de notas são armazenadas no ficheiro msticpyconfig.yaml , que é preenchido automaticamente com os detalhes iniciais da área de trabalho.
Certifique-se de que lê cuidadosamente as células de markdown para que compreenda completamente o processo, incluindo cada uma das definições e o ficheiro msticpyconfig.yaml . Os passos seguintes, os recursos adicionais e as perguntas mais frequentes do wiki Azure Sentinel Notebooks estão ligados a partir do final do bloco de notas.
Personalizar as consultas (opcional)
O bloco de notas do Introdução Guide For Microsoft Sentinel ML Notebooks fornece consultas de exemplo que pode utilizar ao aprender sobre blocos de notas. Personalize as consultas incorporadas ao adicionar mais lógica de consulta ou execute consultas completas com a exec_query função . Por exemplo, a maioria das consultas incorporadas suporta o add_query_items parâmetro , que pode utilizar para acrescentar filtros ou outras operações às consultas.
Execute a seguinte célula de código para adicionar um pacote de dados que resume o número de alertas por nome de alerta:
from datetime import datetime, timedelta qry_prov.SecurityAlert.list_alerts( start=datetime.utcnow() - timedelta(28), end=datetime.utcnow(), add_query_items="| summarize NumAlerts=count() by AlertName" )Transmita uma cadeia de consulta de Linguagem de Consulta Kusto (KQL) completa ao fornecedor de consultas. A consulta é executada na área de trabalho ligada e os dados são devolvidos como um DataFrame panda. Executar:
# Define your query test_query = """ OfficeActivity | where TimeGenerated > ago(1d) | take 10 """ # Pass the query to your QueryProvider office_events_df = qry_prov.exec_query(test_query) display(office_events_df.head())
Para saber mais, confira:
Aplicar orientações a outros blocos de notas
Os passos neste artigo descrevem como executar o bloco de notas Introdução Guide for Microsoft Sentinel ML Notebooks na área de trabalho do Azure Machine Learning através de Microsoft Sentinel. Também pode utilizar este artigo como orientação para executar passos semelhantes para executar blocos de notas noutros ambientes, incluindo localmente.
Vários Microsoft Sentinel blocos de notas não utilizam o MSTICPy, como os blocos de notas do Scanner de Credenciais ou os exemplos do PowerShell e C#. Os blocos de notas que não utilizam o MSTICpy não precisam da configuração do MSTICPy descrita neste artigo.
Experimente outros blocos de notas Microsoft Sentinel, tais como:
- Configurar o Ambiente do Bloco de Notas
- Uma Apresentação das funcionalidades do bloco de notas Cybersec
- Exemplos de Machine Learning em Blocos de Notas
- A série Entity Explorer, incluindo variações para contas, domínios e URLs, endereços IP e anfitriões Linux ou Windows.
Para saber mais, confira:
- Blocos de notas do Jupyter com capacidades de investigação Microsoft Sentinel
- Configurações avançadas para blocos de notas do Jupyter e MSTICPy no Microsoft Sentinel
- Criar o seu primeiro bloco de notas Microsoft Sentinel (série de blogues)
- Instruções do Linux Host Explorer Notebook (Blogue)
Conteúdo relacionado
Para saber mais, confira: