Notebooks do Jupyter com recursos de busca do Microsoft Sentinel
Os notebooks Jupyter combinam programação completa com uma enorme coleção de bibliotecas para aprendizado de máquina, visualização e análise de dados. Esses atributos fazem do Jupyter uma ferramenta interessante para investigação de segurança e busca.
A base do Microsoft Sentinel é o armazenamento de dados; ele combina consultas de alto desempenho, esquema dinâmico e escalas para grandes volumes de dados. O portal do Azure e todas as ferramentas do Microsoft Sentinel usam uma API comum para acessar esse armazenamento de dados. A mesma API também está disponível para ferramentas externas, como notebooks Jupyter e Python.
Importante
O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Quando usar notebooks Jupyter
Embora muitas tarefas comuns possam ser executadas no portal, o Jupyter estende o escopo do que você pode fazer com esses dados.
Por exemplo, use notebooks para:
- Execução de análises que não são fornecidas prontas para uso no Microsoft Sentinel, como alguns recursos de aprendizado de máquina do Python
- Criação de visualizações de dados que não são fornecidas prontas para uso no Microsoft Sentinel, como linhas do tempo personalizadas e árvores de processos
- Integração de fontes de dados fora do Microsoft Sentinel, como um conjunto de dados local.
Integramos a experiência do Jupyter ao portal do Azure, facilitando a criação e a execução de notebooks para analisar seus dados. A biblioteca Kqlmagic fornece a associação que permite pegar consultas KQL (Linguagem de Consulta Kusto) do Microsoft Sentinel e executá-las diretamente em um notebook.
Vários notebooks, desenvolvidos por alguns analistas de segurança da Microsoft, são empacotados com o Microsoft Sentinel:
- Alguns desses notebooks são criados para um cenário específico e podem ser usados no estado em que se encontram.
- Outros são destinados como exemplos para ilustrar técnicas e recursos que você pode copiar ou adaptar para uso em seus notebooks.
Importe outros blocos de anotações do repositório GitHub do Microsoft Sentinel.
Como os notebooks Jupyter funcionam
Os notebooks têm dois componentes:
- A interface baseada em navegador na qual você insere e executa consultas e código, e onde os resultados da execução são exibidos.
- Um kernel que é responsável pela análise e pela execução do próprio código.
O kernel do notebook do Microsoft Sentinel é executado em uma máquina virtual (VM) do Azure. A instância de VM pode dar suporte à execução de muitos notebooks ao mesmo tempo. Se os seus notebooks incluírem modelos de machine learning complexos, existem várias opções de licenciamento para usar máquinas virtuais mais eficazes.
Entender pacotes do Python
Os notebooks do Microsoft Sentinel usam muitas bibliotecas populares do Python, como pandas, matplotlib, bokeh e outras. Há muitos outros pacotes do Python para você escolher, cobrindo áreas como:
- Visualizações e gráficos
- Processamento de dados e análise
- Estatísticas e computação numérica
- Aprendizado de máquina e aprendizado profundo
Para evitar a necessidade de digitar ou colar código complexo e repetitivo em células de notebook, a maioria dos notebooks Python depende de bibliotecas de terceiros chamadas pacotes. Para usar um pacote em um notebook, você precisa instalar e importar o pacote. A Computação do Azure Machine Learning tem pacotes mais comuns pré-instalados. Não deixe de importar o pacote ou a parte relevante do pacote, como um módulo, arquivo, função ou classe.
Os notebooks do Microsoft Sentinel usam um pacote do Python chamadoMSTICPy, que é uma coleção de ferramentas de segurança cibernética para recuperação, análise, enriquecimento e visualização de dados.
As ferramentas MSTICPy foram projetadas especificamente para ajudar na criação de notebooks para busca e investigação, e estamos trabalhando ativamente em novos recursos e aprimoramentos. Para obter mais informações, consulte:
- Documentação das Ferramentas de Segurança do MSTIC Jupyter e Python
- Introdução aos notebooks do Jupyter e MSTICPy no Microsoft Sentinel
- Configurações avançadas para notebooks do Jupyter e MSTICPy no Microsoft Sentinel
Localizar notebooks
No Microsoft Sentinel, selecione Notebooks para visualizar os notebooks que o Microsoft Sentinel fornece. Saiba mais sobre como usar notebooks em busca e investigação de ameaças explorando modelos de notebook, como a Verificação de credenciais no Azure Log Analytics e Investigação guiada - Alertas de processo.
Para obter mais notebooks criados pela Microsoft ou que contribuíram com a comunidade, acesse o Repositório GitHub do Microsoft Sentinel. Outros notebooks compartilhados no repositório GitHub do Microsoft Sentinel são destinados para uso como ferramentas úteis, ilustrações e códigos de exemplo que você pode usar ao desenvolver seus próprios notebooks.
O
Sample-Notebooks
diretório inclui notebooks de exemplo que são salvos com dados que você pode usar para mostrar a saída pretendida.O
HowTos
diretório inclui notebooks que descrevem conceitos como a definição da versão padrão do Python, a criação de indicadores do Microsoft Sentinel a partir de um notebook e muito mais.
Gerenciar o acesso aos notebooks do Microsoft Sentinel
Para usar os notebooks do Jupyter no Microsoft Sentinel, primeiro você deve ter as permissões corretas, dependendo da função de usuário.
Embora você possa executar notebooks do Microsoft Sentinel no JupyterLab ou no Jupyter clássico, no Microsoft Sentinel, os notebooks são executados em uma plataforma do Azure Machine Learning. Para executar notebooks no Microsoft Sentinel, você deve ter acesso apropriado ao espaço de trabalho do Microsoft Sentinel e a um espaço de trabalho do Azure Machine Learning.
Permissão | Descrição |
---|---|
Permissões no Microsoft Sentinel | Como outros recursos do Microsoft Sentinel, para acessar notebooks na folha de notebooks do Microsoft Sentinel, é necessário ter um Leitor do Microsoft Sentinel, um Respondente do Microsoft Sentinel ou uma função de Colaborador do Microsoft Sentinel. Para saber mais, veja Permissões no Microsoft Sentinel. |
Permissões do Azure Machine Learning | Um workspace do Azure Machine Learning é um recurso do Azure. Assim como outros recursos do Azure, quando um novo workspace do Azure Machine Learning é criado, ele vem com funções padrão. Você pode adicionar usuários ao workspace e atribuí-los a uma dessas funções internas. Para obter mais informações, consulte Funções padrão do Azure Machine Learning e funções internas do Azure. Importante: o acesso à função pode ser definido para vários níveis no Azure. Por exemplo, alguém com acesso de proprietário a um workspace pode não ter acesso de proprietário ao grupo de recursos que contém o workspace. Para obter mais informações, confira Como o RBAC do Azure funciona. Caso seja proprietário de um workspace do Azure ML, você poderá adicionar e remover funções para o workspace e atribuir funções aos usuários. Para obter mais informações, consulte: - Portal do Azure - PowerShell - CLI do Azure - REST API - Modelos do Azure Resource Manager - CLI do Azure Machine Learning Caso as funções internas sejam insuficientes, você tembém poderá criar funções personalizadas. Funções personalizadas podem ter permissões de leitura, gravação, exclusão e recursos de computação neste workspace. Você pode tornar a função disponível em níveis específicos do workspace, do grupo de recursos ou da assinatura. Para obter mais informações, consulte Criar função personalizadas. |
Enviar comentários para um notebook
Envie comentários, solicitações de recursos, relatórios de bugs ou melhorias para os notebooks existentes. Acesse o Repositório do GitHub do Microsoft Sentinel para criar um problema ou um fork e carregar uma contribuição.
Conteúdo relacionado
- Buscar ameaças de segurança com os notebooks Jupyter
- Introdução aos notebooks do Jupyter e MSTICPy no Microsoft Sentinel
- Buscar ameaças proativamente
- Mantenha o controle dos dados durante a busca com o Microsoft Azure Sentinel
Para blogs, vídeos e outros recursos, consulte:
- Criar seu primeiro notebook do Microsoft Sentinel (série de Blogs)
- Tutorial: notebooks do Microsoft Sentinel - Introdução (Vídeo)
- Tutorial: editar e executar notebooks do Jupyter sem sair do Estúdio do Azure Machine Learning (Vídeo)
- Detectar vazamentos de credenciais usando os notebooks do Azure Sentinel (vídeo)
- Webinar: conceitos básicos dos notebooks do Microsoft Sentinel (vídeo)
- Jupyter, msticpy e Microsoft Sentinel